Ο Brian Krebs, ένας διάσημος ερευνητής ασφαλείας έγραψε σε μια ανάρτηση σε ένα blog κατηγορώντας τις αδιάφορες διαδικασίες ελέγχου ταυτότητας χρηστών της PayPal, που επέτρεψε σε έναν άγνωστο εισβολέα να παραβιάσει τον λογαριασμό του και στη συνέχεια να μεταφέρει ποσά σε έναν χάκερ που συνδέεται με τo ISIS και πιστεύεται ότι σκοτώθηκε από το στρατό των ΗΠΑ.
Ο κύριος Krebs, ο οποίος έγραφε για πολλά χρόνια για την Washington Post, η οποία ειδικεύεται σε συνδικάτα που σχετίζονται με εγκλήματα στον κυβερνοχώρο και πρόσφατα ξεκίνησε ένα δημοφιλές blog σχετικό με την ασφάλεια, είχε προηγούμενες συναναστροφές με την PayPal κατά τη διάρκεια της μακροχρόνιας καριέρας του.
Προς μεγάλη του έκπληξη, μετά από τόσα χρόνια, ένα πρόσφατο περιστατικό έδειξε πόσο πολύ πίσω από την τρέχουσα εποχή είναι πραγματικά το πρόγραμμα υποστήριξης πελατών της PayPal και πόσο εύκολο είναι για κάποιον να παραβιάσει άλλους λογαριασμούς με πολύ λίγα στοιχεία.
Δεν θα διηγηθούμε βήμα-βήμα τι συνέβη με τον κύριο Krebs αλλά εν ολίγοις, ένας χάκερ πήρε τον έλεγχο του λογαριασμού του στην PayPal καλώντας στο κέντρο εξυπηρέτησης πελατών της PayPal.
Έτσι, ο εισβολέας ζήτησε την επαναφορά του κωδικού πρόσβασης και την πήρε, μόνο παρέχοντας τα τέσσερα τελευταία ψηφία του αριθμού Κοινωνικής Ασφάλισης και τα τέσσερα τελευταία ψηφία ενός παλαιότερου λογαριασμού πιστωτικής κάρτας του κυρίου Krebs.
Δεδομένου ότι ο κύριος Krebs είχε εκθέσει πολλές ομάδες που σχετίζονταν με το κυβερνο-έγκλημα κατά το παρελθόν, είχαν αναζητηθεί στοιχεία της προσωπικής του ζωής πολλές φορές και τα στοιχεία του είναι ήδη διαθέσιμα στο διαδίκτυο σε διάφορα μέρη. Για άλλους ανθρώπους, λεπτομέρειες όπως αυτές μπορούν εύκολα να ληφθούν από παραβιάσεις δεδομένων που διέρρευσαν στο διαδίκτυο ή από κάποια εγκληματική underground black market, όπου οι hackers πωλούν μεγάλες παρτίδες δεδομένων για λίγα δολάρια.
Προς έκπληξη του κυρίου Krebs, η παραβίαση του λογαριασμού συνέβη δύο φορές, ακόμη και αφού ενημέρωσε το PayPal για την πρώτη προσπάθεια και τον διαβεβαίωσαν ότι θα παρακολουθούν τη δραστηριότητα του λογαριασμού του.
Μια κλήση σε έναν επόπτη της PayPal αποκάλυψε ότι η εταιρεία, το 2016, εξακολουθεί να μην έχει σύγχρονα συστήματα ελέγχου ταυτότητας που θα μπορούσαν να αποφύγουν απλά social engineering κόλπα όπως το παραπάνω και στις περισσότερες περιπτώσεις, λίγα μόνο στατικά προσωπικά στοιχεία είναι αρκετά για την επαναφορά του κωδικού πρόσβασης και την αλλαγή των emails που σχετίζονται με τους λογαριασμούς.
Η παραβίαση των προφίλ της PayPal του κυρίου Krebs ήταν προφανώς μια στοχευμένη επίθεση, γιατί μόλις ο χάκερ πήρε τον έλεγχο του λογαριασμού του για δεύτερη φορά, ήθελε να θέσει σε κίνδυνο τη φήμη του κυρίου Krebs μεταφέροντας ορισμένα κεφάλαιά του στην PayPal ενός γνωστού ISIS τρομοκράτης.
Ο τρομοκράτης ήταν ο Junaid Hussain, ένας χάκερ γνωστός ως TriCk, πρώην μέλος του TeaMp0isoN, καθώς επίσης και ο αρχηγός της CyberCaliphate, ένα από τα τμήματά του κυβερνοχώρου του ISIS.
Για την αποφυγή μελλοντικών προβλημάτων, ο κύριος Krebs συνιστά ότι η PayPal θα πρέπει να επανεξετάσει τις διαδικασίες δημιουργίας αντιγράφων ασφαλείας για την ταυτοποίηση των χρηστών τους και να λάβουν υπόψιν τους τον ψηφιοποιημένο κόσμο στον οποίο ζούμε και τις αμέτρητες παραβιάσεις δεδομένων που έχουν εκθέσει τα προσωπικά στοιχεία σχεδόν του κάθε ατόμου που βρίσκεται online σε τακτική βάση.
