हैकर्स स्ट्रॉन्ग वेबमेल में तोड़ने के लिए $ 10,000 पुरस्कार का दावा करते हैं

हैकर प्यार एक चुनौती। और इससे भी ज्यादा, उन्हें नकद पसंद है।

इस सप्ताह टेलिज़िन ने यही पाया। वॉयस-आधारित प्रमाणीकरण सॉफ़्टवेयर का एक प्रदाता, कंपनी ने हैकर को पिछले सप्ताह के अंत में अपनी StrongWebmail.com वेबसाइट में तोड़ने के लिए चुनौती दी थी। इनाम? यूएस $ 10,000।

गुरुवार को, सुरक्षा शोधकर्ताओं के एक समूह ने दावा जीता था, जिसने हैकर्स को स्ट्रॉन्गवेबेल के सीईओ डैरेन बर्कोवित्ज़ के वेब मेल खाते में तोड़ने और 26 जून कैलेंडर प्रविष्टि से विवरण वापस रिपोर्ट करने के लिए चुनौती दी थी।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

सुरक्षित विज्ञान प्रमुख वैज्ञानिक लांस जेम्स और सुरक्षा शोधकर्ता अवीव रैफ ​​और माइक बेली के नेतृत्व में हैकर्स ने बर्कोवित्ज़ के कैलेंडर से आईडीजी न्यूज सर्विस में ब्योरा प्रदान किया। एक साक्षात्कार में, बर्कोवित्ज़ ने पुष्टि की कि वे विवरण उनके खाते से हैं।

हालांकि, बर्कोवित्ज़ यह पुष्टि नहीं कर सका कि हैकर वास्तव में पुरस्कार जीते थे। उन्होंने कहा कि उन्हें यह पुष्टि करने की जांच करनी होगी कि हैकरों ने प्रतियोगिता के नियमों का पालन किया था, उन्होंने कहा, "अगर कोई ऐसा करता है, तो हम अपने सिर नीचे डाल देंगे।"

प्रतियोगिताओं के नियम शोधकर्ताओं को रोकते हैं यह खुलासा करते हुए कि उन्होंने अपना हमला कैसे किया, लेकिन वे आईडीजी न्यूज सर्विस द्वारा स्थापित स्ट्रॉन्ग वेबमेल खाते से समझौता करने में भी सक्षम थे। आईडीजी हमले शुरू में काम नहीं करता था, लेकिन सफल हुआ जब फ़ायरफ़ॉक्स ब्राउज़र पर सुरक्षा सॉफ्टवेयर को नोस्क्रिप्ट कहा जाता था, जो विंडोज एक्सपी मशीन पर चल रहा था।

"हमें कई क्रॉस-साइट हमले मिले जो हमें अन्य उपयोगकर्ताओं पर हमला करने की इजाजत देते हैं," जेम्स कहा हुआ। "आपके पास हमला शुरू करने के लिए एक पंजीकृत खाता होना चाहिए।"

वेबमेल उपयोगकर्ताओं को सुरक्षा की एक और परत देने के लिए स्ट्रॉन्गवेबेल टेलीसिगन के टेलीफोन प्रमाणीकरण प्रणाली का उपयोग करता है। उपयोगकर्ता नाम और पासवर्ड के साथ लॉग इन करने के बजाय, ग्राहकों को एक गुप्त कोड भी दर्ज करना होगा जो उन्हें साइट पर लॉग इन करना चाहते हैं, जब उन्हें साइट पर लॉग इन करना है।

बैंक साइबर अपराधियों से लड़ने में मदद के लिए इन फोन-आधारित प्रमाणीकरण सर्वर का उपयोग कर रहे हैं जो अक्सर पीड़ितों से उपयोगकर्ता नाम और पासवर्ड चुराएं।

लेकिन इस तरह के प्रमाणीकरण - जिसे दो-कारक प्रमाणीकरण कहा जाता है - जिसे हैकर द्वारा मध्य-हमले के रूप में जाना जाता है, का उपयोग करके विफल किया जा सकता है। इस हमले में, हैकर का सॉफ़्टवेयर वैध रूप से वेबसाइट पर लॉग इन करने के लिए इंतजार कर रहा है और फिर इसे लेता है। जेम्स ने कहा, "वे सिर्फ आपके लिए लॉग इन करने का इंतजार कर रहे हैं और वे जो कुछ भी चाहते हैं वो कर सकते हैं।" 99

जेम्स ने कहा कि ये प्रतियोगिता मजेदार हो सकती है, लेकिन वे असली सुरक्षा का यथार्थवादी उपाय नहीं देते हैं क्योंकि वे साथ जुड़े हुए हैं नियम। स्ट्रॉन्ग वेबमेल प्रतियोगिता उदाहरण के लिए, कंपनी के अंदरूनी सूत्र के साथ काम करने पर रोक लगाती है। उन्होंने कहा, "एक बुरे आदमी को नियमों की परवाह नहीं होगी।

वेबमेल सुरक्षा को पिछले साल बहुत अधिक ध्यान मिला है। सितंबर में एक हैकर ने अलास्का के गवर्नर सारा पॉलिन के ई-मेल खाते तक पहुंच प्राप्त की और उसके बारे में विवरण प्रकाशित किया इंटरनेट पर पत्राचार। उस घटना में डेविड कर्नेल नामक एक कॉलेज के छात्र पर आरोप लगाया गया है।

प्रतियोगिता के नतीजे जो भी हो, बर्कोवित्ज़ का कहना है कि उन्हें आशा है कि उनकी प्रतियोगिता उपयोगकर्ताओं को मिल जाएगी - और Google और Yahoo जैसे वेबमेल प्रदाता - सुरक्षा के बारे में और सोचते हैं। उन्होंने कहा, "हम दावा नहीं कर रहे हैं कि यह परम, परम समाधान है।" लेकिन हम उपयोगकर्ता नाम और पासवर्ड भाग पर ध्यान देने की कोशिश कर रहे हैं। "