Wie das E-Mail Postfach von Sarah Palin gehackt wurde
Das E-Mail Postfach von Sarah Palin der republikanischen Anwärterin zur US Vizepräsidentschaft wurde gehackt. Nicht technisches Know How war dazu notwendig, sondern eine akribische Recherche zur Biografie im Internet. Denn die Angreifer nutzen die Funktion für “vergessene Passwörter” in Palins Yahoos E-Mail Account.
Im Blog von Michelle Malkin wird eine E-Mail des Hackers veröffentlicht, in denen die Details zum Hack genau beschrieben sind. Das Palin ein E-Mail Konto bei Yahoo hat, habe der Angreifer aus der Presse erfahren. Um an das Passwort des Yahaoo-ID Accounts zu gelangen, mussten bei der Funktion “Passwort vergessen” zwei persönliche Fragen zur Biografie von Sarah Palin beantwortet werden. Die Antworten wurden per Wikipedia, Google und Postleitzahlenverzeichnis gesucht und gefunden. Dazu der Hacker “rubico” in einer E-Mail:
after the password recovery was reenabled, it took seriously 45 mins on wikipedia and google to find the info, Birthday? 15 seconds on wikipedia, zip code? well she had always been from wasilla, and it only has 2 zip codes (thanks online postal service!)
the second was somewhat harder, the question was €œwhere did you meet your spouse?€ did some research, and apparently she had eloped with mister palin after college, if youll look on some of the screenshits that I took and other fellow anon have so graciously put on photobucket you will see the google search for €œpalin eloped€ or some such in one of the tabs.
I found out later though more research that they met at high school, so I did variations of that, high, high school, eventually hit on €œWasilla high€ I promptly changed the password to popcorn and took a cold shower€¦
Im Gegensatz zum “klassischen Hacking”, bei dem der Angreifer ein tiefes technischen Verständnis des zu kompromitierenden Systems benötigt, war der Hack des Palin E-Mail Postfachs ein cleveres Such- und Puzzlespiel per Internetrecherche. Das macht den Hack nicht weniger spektakulär, sondern es zeigt wie anfällig System sind, die die Sicherheit per vermeintlichen “biografischen Geheimnissen” sicherstellen möchten. Im Zuge von immer mehr Suchmöglichkeiten über soziale Netzwerke, wird es immer schwieriger werden biografische Besonderheiten zu schützen.
Fragen wie “Wie lautet der Name Ihres Haustieres?” oder “Wie lautet der Mädchenname Ihrer Mutter?“, sind nicht wirklich geheim in einer zunehmend vernetzten Welt und werden mit dem Grad der Vernetzung in sozialen Netzwerken zunehmend offensichtlicher.
Blogger Bruce Schneier, zerlegt in seinem Artikel “The Curse of the Secret Question” das Prinzip der biografischen Geheimfragen. Dem ist nichts hinzuzufügen.