해커들은 보안 메일 제공 업체 StrongWebmail을 해킹하여 10,000 달러 상을 수 상했습니다.

Telesign이 이번 주에 알아 낸 것입니다. 음성 기반 인증 소프트웨어 공급 업체 인이 회사는 해커가 지난 주 StrongWebmail.com 웹 사이트에 침입 할 것을 당부했습니다. 상금?

목요일 보안 전문가 그룹이 해커들에게 StrongWebmail CEO 인 Darren Berkovitz의 웹 메일 계정에 침입하여 자신의 6 월 26 일 일정 항목에 대한 자세한 내용을보고 해주기 위해이 콘테스트에서 우승했다고 주장했다.

[추가 읽기: Windows PC에서 악성 코드 제거 방법] Secure Science의 수석 과학자 인 Lance James와 보안 연구원 인 Aviv Raff와 Mike Bailey가 이끄는 해커들은 Berkovitz의 달력에서 IDG News Service에 대한 세부 정보를 제공했습니다. 인터뷰에서, Berkovitz는 그 내용이 그의 설명에서 나온 것이라고 확인했다. 그러나 Berkovitz는 해커들이 실제로 상을 수상했는지 확인할 수 없었다. 그는 해커들이 콘테스트 규칙을 지켰는지 확인하기 위해 점검해야한다고 말했다. "만약 누군가 해낸다면 우린 머리를 쓰게 될 것"이라고 말했다.

경연 대회 규칙은 그들이 공격을 수행 한 방법을 공개했지만 IDG News Service에서 설정 한 StrongWebmail 계정을 손상시킬 수도있었습니다. IDG 공격은 초기에는 작동하지 않았지만 Windows XP 컴퓨터에서 실행되는 Firefox 브라우저에서 NoScript라는 보안 소프트웨어가 비활성화되었을 때 성공했습니다. "915 명의 사용자가 다른 사용자를 공격 할 수있는 여러 교차 사이트 공격을 발견했습니다."James 고 밝혔다. "공격을 시작하려면 등록 된 계정이 있어야합니다."StrongWebmail은 Telisign의 전화 인증 시스템을 사용하여 웹 메일 사용자에게 또 다른 보안 계층을 제공합니다. 사용자 이름과 비밀번호로 로그인하는 대신 고객은 사이트에 로그인 할 때마다 전화를 걸 수있는 비밀 코드를 입력해야합니다.

은행은 이러한 전화 기반 인증 서버를 사용하여 종종 자주 발생하는 사이버 범죄자 피해자의 사용자 이름과 암호를 훔칩니다.

그러나 이런 종류의 인증 (이중 인증이라고도 함)은 해커가 중간자 인 (man-in-the middle) 공격을 사용하여 방해받을 수 있습니다. 이 공격에서 해커의 소프트웨어는 사용자가 합법적으로 웹 사이트에 로그인 한 다음 인계하기를 기다립니다. James는 "당신이 로그인하기를 기다리고 원하는대로 할 수있다."라고 James는 말했다. James는이 콘테스트는 재미 있을지도 모른다고 말했다. 그러나 실제 보안에 대한 현실적인 측정은 제공하지 않는다. 규칙. StrongWebmail 컨테스트는 회사 내부자와의 작업을 금지합니다. "악의적 인 사람은 규칙에 신경 쓰지 않을 것이라고 그는 말했다.

웹 메일 보안은 지난 한 해 동안 많은 주목을 받았고, 9 월에 해커가 사라 페일 린 알래스카 주지사 이메일 계정에 접속하여 그녀의 세부 사항을 발표했다. 버코 비츠는 콘테스트 결과가 어떻든간에 사용자와 구글, 야후와 같은 웹 메일 제공업자들이 자신의 콘테스트에 보안에 대해 더 많이 생각하기를 희망한다고 말한다. "우리는 이것이 궁극의 궁극적 인 해결책이라고 주장하지는 않는다. 그러나 우리는 사용자 이름과 암호 부분에주의를 기울이기 위해 노력 중이다."