Ano, již podruhé byl účet jednoho z nejmocnějších můžu světa hacknutý. Netřeba asi dodávat, že to mohl být průšvih větší než Brno, kdyby se to podařilo někomu jinému, než etickému hackerovi, který chybu nezneužil, ale naopak nahlásil.

Nejednalo se navíc o nic sofistikovaného, žádný malware, slovníkový útok, nebo něco podobného. Když Victor Gevers zjistil, že účet není chráněn dvoufaktorovým ověřením, začal postupně zkoušet hesla, která ho napadla. Největší perlou je, že mu to vyšlo na pátý pokus!

Přitom by stačilo, aby měl pan prezident zapnuté vícefaktorové ověření. Tomu se věnuji v samostatném článku zde: https://www.spajk.cz/co-je-to-2fa-a-proc-vicefaktorovou-autentizaci-pouzivat/

Nastavení dvoufaktorového ověření na Twitteru zabere zhruba minutu. Jak je to snadné, můžete vidět v galerii níže:

Rád bych Vás tedy o něco požádal:

Nebuďte jako Donald, používejte dvoufaktor. 🔐 📲

Následuje archivovaná verze původního článku, ve kterém jsem citován, jenž byl zveřejněn 23.10.2020 na serveru Aktuálně.cz. Link na originál je zde: https://zpravy.aktualne.cz/zahranici/muz-se-naboural-do-trumpova-uctu-uhodl-hesloMuž se naboural do Trumpova účtu, uhodl heslo. Experti varují, co vše mohl udělat

Nizozemec Victor Gevers by se dal označit za odborníka přes nabourávání se do twitterového účtu amerického prezidenta Donalda Trumpa. Jak tento týden sdělil médiím, už podruhé za čtyři roky se mu podařilo uhodnout Trumpovo příliš slabé heslo a do účtu se přihlásit. „Je to nepochopitelná lehkovážnost, měl štěstí, že ho Gevers chtěl varovat, ne mu ublížit,“ shodují se experti.

Trump se do svého twitterového účtu přihlašoval pomocí hesla „maga2020!“. Jde o zkratku sloganu „Make America Great Again“ neboli „Učiňme Ameriku znovu velkou“který Trump používá ve svých předvolebních kampaních do křesla nejmocnějšího muže Spojených států.

Jde o slogan jasně spojený s Donaldem Trumpem, experti ho považují za extrémně předvídatelné a slabé heslo. „Je prolomitelné zhruba za pět minut,“ míní Pavel Matějíček, manažer technické podpory technologické společnosti ESET.

„Taková kombinace se nabízí i při ručním pokusu o prolomení, kdy hacker sám zkouší různé pravděpodobné kombinace,“ souhlasí i bezpečnostní expert Karol Suchánek.

Právě metodou pokus omyl se Gevers podle svých slov do účtu dostal, trefil se už na popáté. „Čekal jsem, že mě to zablokuje nebo že se mě to aspoň zeptá na nějaké další informace,“ řekl deníku De Volkskrant. To se ale nestalo, a analytik tak získal přístup k účtu s 87 miliony odběratelů, mezi které patří úřady, politici a novináři z celého světa.

Trump je na sociální síti velmi aktivní, zveřejňuje i desítky příspěvků denně. Používá ji k oznámení tak zásadních novinek, jako jsou odvolání ministrů, termín stažení amerických vojáků z Afghánistánu nebo vyhrožování ekonomickou destrukcí jinému státu.

Chybělo ověření přihlášení

Nizozemec o svém „úspěchu“ obratem informoval jak samotného prezidenta, tak americké bezpečnostní složky. Tímto počínáním naplňuje definici takzvaného etického hackera. „Platí si je firmy, organizace a vlády, aby simulovali útoky ‚zlých‘ hackerů a snažili se nabourat do různých systémů. Odhalují tím mezery v jejich bezpečnosti,“ vysvětluje Suchánek.

Podobný princip zafungoval i v tomto případě, protože den po přihlášení přibylo na Trumpově účtu takzvané dvoufázové ověření, jaké je běžné například u internetového bankovnictví. Znamená to, že při pokusu o přihlášení z neznámého počítače nebo lokality vzdálené běžnému místu výskytu uživatele je nutné zadat ještě třeba číselný kód zaslaný v textové zprávě na mobilní telefon.

Geverse podle jeho slov překvapilo, že Trump tuto dvojitou ochranu dávno nepoužívá. „Je dost zvláštní, že se tady neuplatnilo – nebo bylo ignorováno – nějaké nařízení o způsobu zabezpečení. Účty osobností veřejného života často spravuje ne jeden člověk, ale skupina marketingových expertů a odborníků na veřejné mínění,“ upozorňuje Matějíček z ESET.

Společnost Twitter v reakci na článek v nizozemském deníku uvedla, že „nemá důkazy, které by Geversovy informace potvrzovaly“. Prominentní účty údajně chrání speciálním zabezpečením. Ovšem i zcela běžný uživatel dostane od Twitteru a podobných služeb upozornění, když dojde k podobně netypickému přihlášení. „Věřím, že by se o něm tedy Twitter dozvěděl,“ říká Karol Suchánek.

To, že firma nechce prozradit podrobnosti o nadstandardním zabezpečení obzvlášť exponovaných účtů, ale považuje za logické.

Také americký prezident odmítá, že by ke kompromitaci jeho účtu došlo, americké tajné služby se ale podle listu De Volkskrant po dvou dnech na hackera obrátily, aby mu poděkovaly za upozornění. Přesvědčení, že Gevers mluví pravdu, vyjádřili také další experti z oboru. Aktivista v oblasti internetové bezpečnosti má za sebou řadu důležitých odhalení, objevil například obrovskou databázi s osobními údaji obyvatel čínské provincie Sin-ťiang. Právě v ní žije početná menšina ujgurských muslimů, které Peking pronásleduje.

Někdo by mohl Trumpův účet i smazat

Experti se shodují, že Trump se chová lehkovážně. Podle Matějíčka se nyní nabízí otázka, zda stejně nedostatečným způsobem nejsou chráněny i další prezidentovy účty na sociálních sítích. Suchánek pak upozorňuje, že velké riziko by představoval scénář, kdy by se do Trumpova účtu naboural člověk, který na rozdíl od Geverse nechce jen poukazovat na nedostatky, ale ublížit.

„Mohl by vstoupit do soukromých konverzací, zveřejňovat příspěvky jeho jménem. Hrozilo by, že změní heslo k účtu, a tak jej vlastně ukradne. Teoreticky by jej mohl i smazat,“ vyjmenovává Suchánek.

„‚Zlý hacker‘ by v podstatě mohl po určitou dobu – bavíme se asi o několika minutách – ovlivňovat vše, co skrze svoji aktivní komunikaci ovlivňuje Donald Trump. Nálady ve společnosti, včetně vyvolání občanských nepokojů, vývoj trhů a světové ekonomiky,“ říká expert. „Zejména takové příspěvky, které nějak rozdělují společnost, dnes vyvolávají bleskové reakce i v reálném světě,“ dodává.

Připomíná ale, že právě kvůli svéráznému Trumpovu komunikačnímu stylu není vždy a okamžitě bráno s plnou vážností vše, co prezident publikuje. Například v jednom nočním příspěvku v květnu 2017 použil výraz „covfefe“. Co toto mysteriózní slovo znamenalo, prezident dodnes nevysvětlil.