Nechtěl jsem věřit tomu, že to funguje. Jde totiž o neskutečně primitivní trik. Proč dělat povyk kolem bezpečnostních děr Internet Exploreru, když obrovské trhliny zejí úplně jinde? Takže jsem to vyzkoušel…
Cituji:
Tento fígl jsem objevil náhodou, když jsem sledoval při práci admina ze Seznamu. Je to prosté: na server zašle požadavek (speciální e-mail), ten jej vyhodnotí a pošle zpět odpověď. Administrátoři Seznamu to používají při práci „v terénu“. Teď prozradím přesný tvar e-mailu, kterým lze získat heslo k jakékoliv schránce na Seznam E-mail.
E-mail je třeba odeslat na adresu
get.password@seznam.cz
. Jako předmět se musí uvéstL4_Tr1N3
. Zpráva musí být přesně v tomto formátu:
$src:adresa@seznam.cz
(tedy adresa, k níž chcete znát heslo)
auth:vase_adresa@seznam.cz
(vaše adresa, na ni bude zasláno heslo)
##auth:vase_heslo
(a heslo pro ověření vaší totožnosti)Pozor, je nutné mít schránku na Seznamu, aby server mohl ověřit přihlašovací údaje!
Tedy pokud chcete zjistit heslo ke schránce
petr.nozicka@seznam.cz
a sami máte e-mailfranta@seznam.cz
s heslem12345
, pak odešlete zprávu ve znění$src:petr.nozicka@seznam.cz auth:franta@seznam.cz ##auth:12345
. Nezapomeňte na předmět ve správném tvaru. Obratem přijde zpět e-mail s heslem ke schránce.
Doplněno o pár hodin později:
NEZKOUŠEJTE TO! NIKDY!
Asi bych měl nejprve vysvětlit záměrný dvojsmysl v prvním odstavci. Neuvažoval jsem nad tím, jestli má bezpečnostní díru Seznam, ale naše hlava. Jestli se skutečně najde dost jedinců, kteří po přečtení jakéhosi pochybného textu dobrovolně svěří cenné údaje cizí osobě. A právě to jsem vyzkoušel.
Nachytal se za tu krátkou chvíli vůbec někdo?
E-mailů přišlo několik desítek! V 8:58 mi napsali z Helpdesku Seznamu žádost o stažení článku a schránku zablokovali (čest jejich pohotové reakci). Bohužel tím zrušili i velmi důležitou funkci celého experimentu, automatickou odpověď ve znění:
Člověče, příště se zamysli, než uděláš takovou hloupost a pošleš někomu cizímu své vlastní heslo.
Pěkný den a více opatrnosti přeje dgx
Což mě velice mrzí – spousta lidí tak možná stále netuší, čeho se vlastně dopustili. Jen doufám, že si přečtou tuto část článku.
poznámka: všechny e-maily jsem automaticky mazal, přístupové údaje vůbec neviděl a ani mě nikterak nezajímají
Proč to funguje?
Jak je možné, že tolik lidí podlehne důmyslně sestavenému textu a odevzdá své „klíče“ od schránky?
Nedělejte si iluze – lidé z oboru se nechali nachytat úplně stejně, jako počítačoví laici. Se znalostí informatiky to tedy nesouvísí – tak s čím?
Základem všeho je důmyslný a dobře napsaný reklamní text. Ten dokázal:
- zaujmout – to obstaralo atraktivní téma atakování cizí schránky
- vzbudit důvěryhodnost – proto ten plytký příběh o správcích v terénu
- odvést pozornost jinam – to měl za úkol podrobný popis komplikovaného formátu e-mailu
- přimět člověka jednat – souhrn předchozího + žádný negativní ohlas (proto jsem dočasně vypnul komentáře)
Oč je text účinější, o to je chatrnější. Jakmile si člověk uvědomí, že naletěl, podívá se na celou konstrukci jinýma očima. Pochopí zjevnou nesmyslnost celého principu, všimne si podobnosti mezi L4_Tr1N3 a La_Trine, zakroutí hlavou nad „správcem v terénu“ a především nad sebou samým.
Nenazývejte však tuto záležitost rhybařením! Je jednoduché ji zaškatulkovat a tím de facto vyřešit. Naopak, přiznejme si, že úplně stejné principy fungují obecně a nutí nás kupovat nekvalitní a předražené zboží či služby. Na tuto fintu s heslem od e-mailu už nikdy nenaletíte, ale co když se ještě dnes necháte ošálit nějakou podobnou?
Závěr
Nečekejte ode mě žádné statistiky nebo překvapivé závěry. Nevím, kolik e-mailů celkem přišlo a je mi to jedno. Toto není sonda sociální, ale velmi osobní. Tedy každý ať si sám pro sebe vyvodí závěr a případné ponaučení.
Pokud se mi podařilo přimět vás (i sebe) k větší opatrnosti, úkol byl splněn.
Komentáře
eLKa #1
Prde 🙂
dna #2
opravdu by me zajimal smysl zverejneni tohoto spotu a proc jej autor ponechal nekolik hodin bez vysvetleni a bez moznosti pridavani nazoru
Petr Koubský #3
Nějak to nefunguje. Zkoušel jsem tam poslat heslo a nic mi zpět nepřišlo. Pro jistotu jsem to zkusil ze všech emailových adres naší rodiny (každý máme jiný heslo) a nikomu se ještě nic nevrátilo. Tak to asi fakt nefunguje. Asi v seznamu už vědí že to prasklo, tak to nějak změnili. Škoda, mohla být nějaká sranda.
pepiino #4
#3 Petře Koubský, Nechi být škodolibý, ale plno lidí se asi baví při přečtení vašeho komentáře :)
Plaváček #5
Jsem zvědav, co z pana DGX vypadne. Jako sonda do hlubin lidské duše je to pěkné a roztomilé :)
juneau #6
Myslim, ze pan Koubsky se bavil take a to dokonce jiz pri psani komentare :)
Petr Koubský #7
#4 pepiino, To je v pořádku, ale nějak nechápu proč. Neměl by spíš někdo kontaktovat seznam jestli o tom ví. Možná jim nějaký admin vynáší „horké“ informace.
Pavel #8
#3 Petře Koubský, Bohužel sranda ještě bude, protože místo slibovaného zjištění hesel ostatních jste Davidovi zaslal hesla k e-mailovým účtům celé vaší rodiny…
#4 pepiino, Něketří se moc nebaví a spíše jim to přijde sprosté. Je rozdíl mezi studií lidské blbosti a získáváním přístupu k osobním datům lidí. A to i přesto, že to pravděpodobně není cílem toho „průzkumu“. Samozřejmě, že to lidem ukáže jistá úskalí bezpečnosti, ale i přesto takový článek považuji za trestnou činnost.
ofr #9
#8 Pavle, no, ti naivkové chtěli zjistit heslo cizích schránek – to mi příjde horší – aspoň dgx zjistil, kdo se chce hrabat v cizí poště
ofr #10
a ten předmět zprávy: l4_Tr1N3 😉
mk #11
Napsání článku trestné být nemůže, pokud by to nebylo hanobení národa, rasy a přesvědčení, propagace fašismu, drog apod.
Šíření poplašné zprávy to myslím taky není 🙂
I když možná by jím byla ta statistika kolik procent lidí dovede před počítačem ztratit soudnost, že neví co dělají (tj. že na cizí a neznámou adresu posílají svoje přihlašovací údaje) :)
Timy #12
Kdyby se tam nemuselo zadávat naše heslo, ale nějaké jednotné heslo (vymyšlené heslo správce seznamu nebo tak něco) tak by se asi nachytalo více lidí, třeba i já:-) takhle jsem k tomu měl prakticky nulovou důvěru. Svoje heslo si hlídám víc než svou čest;-)
Pavel #13
#8 Pavle, Já mezi ty naivky patřím taky. Bohužel jsem ráno rozespalý vůbec nepřemýšlel… ☹ A to se nepovažuju za člověka, který by tupě sděloval svá hesla kdekomu na počkání. Navíc jsem se nechtěl hrabat někomu v poště, zkoušel jsem funkčnost na svých dalších účtech, abych zjistil, jestli se někdo opravdu k mému heslu může dostat. No co, musel jsem změnit hesla (což mě děsně nasralo), a pro příště už nebudu debil… Co mě štvě více, že David takto nelegálně získává (možný) přístup k datům cizích lidí. A přestože, doufejme, to nedělá proto, páchá tím trestný čin.
Deki #14
Take nechci byt skodolibi, ale tento komentar je jeste vtipnejsi.
ofr #15
#13 Pavle, kdo chce kam, chuj s nim(jak se říka u nás – nic osobního). Uživatel se musí fakt jednou spálit, aby si příště rozmysle, kam posílá heslo.
Radim #16
v Seznam.cz údajně zmrazili účet get.password@seznam.cz, takže příliš hesel myslím nenasbírá :o).
Radek #17
LOL. Skoda ze neni aprila:o)
Gregor #18
musim pogratulovat DGX a prinat sa… Dostal ma :D
#12 Timy, na svoje heslo si davam pozor aj ja a tak som si special len pre ten ucel urobil novy mail :D
Bohumír Bednařík (BoboCop) #19
Málem jsem na to naletěl a chtěl si to taky vyzkoušet, ale pak jsem si řekl, že je to přece blbost, abych na nějakou rádoby servisní adresu posílal svoje přihlašovací údaje, takže jsem nikam nic neposlal.
mk #20
Jak neprozradit své heslo na Seznam Email
Ar #21
Taky si myslím, že si spousta lidí otevřela nový účet jen pro tuhle věc…
Orrorin #22
Víte, když se něco takového oběví na ug.cz, tak je to naprosto neškodné. Ale na blogu nějakého ňoumy to může spoustě lidí pokazit náladu. Těšil jste se na to, že budete moci křičet „hele lidi koukejte se, nachytal jsem x trotlů“ a rozdávat svoje moudrosti a vyvozovat dalekosáhlé závěry. Možná jste se těšil i na ty komentáře, které budou jistě součástí vaší psychologické studie. Já se zase těším, jak se ti napálení lidé (kterým jistě pošlete doporučení změnit heslo a omluvu), budou smát ubožákovi Davidu Grundlovi.
Doufám, že tenhle zápis nesmažete, protože až se mě někdo zeptá, co je vlastně zač ten pan Grundl, dám mu určitě tuhle adresu. Snad to bude i vysoko na googlu.
binarniladin #23
#4 pepiino, Nechi být škodolibý, ale plno lidí se asi baví při přečtení VAŠEHO komentáře :) Nejvíc asi Petr Koubský:o)
letinka #24
Vidím, že jsou stále lidé, kteří
Tak nevím, když nechápou chronicky známé pravdy, možná pomůže názorná ukázka následků. 🙂
Filosof #25
Gratz. Dostals me. I schranku sem si kvuli Tobe zalozil (seznam nepouzivam).. 🙂
Ale jsem rad, ze jsem naletel Tobe a ne Mitnickovi..
timichal #26
Veselé.
Byť nemám schránku u Seznamu, řekl bych, že bych na to nenaletěl. Nevidím v tom nic hrozného – i běžný uživatel by už mohl vědět, že je kravina posílat někam svoje heslo, a pochybuju, že tenhle blog čtou běžní uživatelé. A navíc jsem ochoten věřit, že dgx ty maily smazal.
yey #27
Tato hra, naletis nebo neuveris je necestna a nesportovni. Takhle se ve slusne spolecnosti akademicke nesmi zkoumat lidske jednani. Existuje neco jako eticka zarazka, za kterou se nechodi, ikdyz by z ni mohlo byti nove poznani. Velka je moc i sila slov cloveka.
Filip Nekvinda - neki - #28
#22 Orrorine, Chytrý a úzkoprsý pane Orrorine,
A o Google si starosti nedělejte, vždyť jsou tu i SEO URI ( ;-D )
Bez jakékoliv úcty,
Filip Nekvinda -neki-
Timy #29
Je to alespoň dobré ponaučení pro všechny, aby příště nikam neposílali svá hesla. Můžete být rádi, že se k těm heslům nedostal někdo, kdo by je chtěl opravdu zneužít, ještě když je to tak snadné, jak nám tady dgx názorně předvedl (tedy pokud si každý nezaložil novou schránku:-)
JAn #30
Taky jsem na to naletěl, teda, uvěřil. Byl jsem ale příliš líný na to, abych kvůli tomu zakládal schránku na seznamu.
David Grudl #31
Zdravím čtenáře – článek jsem aktualizoval. Je tam vysvětleno vše, co jsem (logicky) nemohl napsat už ráno.
binarniladin #32
#13 Pavle, Čím páchá trestný čin? Tím že ti řekne „pošli mi heslo“ a ty mu ho pošleš? Když ti řeknu aby si mi poslal PIN a ty to dobrovolně uděláš , jsem já zločinec nebo ty moula?
llook #33
No jo, obrovské trhliny. Několik desítek, to je hodně moc.
Podrobné statistiky má tento web zaheslované, ale počet návštěv do 8:58 nemůže být víc než několik set. V tom případě se podíl nachytaných pohybuje v řádu desítek procent. To je mnohem víc než bych na technicky zaměřeném weblogu čekal.
Už aby se začly vyrábět počítače s nápisem přes třetinu plochy: „Ministr informatiky varuje: ‚Nikdy nikomu nevěř!‘“.
Ivo Toman #34
Panečku, to je teda sranda. Já jsem nic neposlal, neboť se mi nezdál předmět: L4_Tr1N3 (La Trine).
Ale po bitvě je každý generál, co?
Arthur Dent #35
Věřil jsem, že se najde dost lidí, co budou jednat rychleji než přemýšlet. Co takhle se zeptat na MOTIVACI těch jedinců? Zvědavost? Nebo opravdu chtěli znát něčí heslo?
PS pro napálené: Ne, neskočil jsem na to. Ne, opravdu ani na nic podobného. Ano, jsem dokonalý. Ano, jsem po VAŠÍ bitvě o Český sen generálem… :)
MiPo #36
Vydarený test. Som sa celkom dosť pobavil:-)))
Len tak ďalej…
Cubicula #37
Zarazil jsem se hned na tom, ze predmet MUSI byt „L4_Tr1N3“. A to ze se ma napsat svoje heslo uz musi byt podezrele kazdemu. Teda alespon jsem si to myslel :)
Swoop #38
#22 Orrorine, David je Grudl nikoli Grundl..
#31 Davide Grudle, Mno, málem jsem se chytil, ale naštěstí jsem v tom čuchal nějakou levárnu :o) (Ačkoli jindy na La Trine baštím všechno). Bylo by zajímavé vidět, kolik lidí by se rádo podívalo přítelkyni, kolegům, šéfovi nebo prostě komukoli jinému do pošty :o)
Petr Mach #39
Celé je to blbost. Vždyť ten člověk i zapírá, že by věděl kolik mu přišlo odpovědí, natož aby je četl. Jak tedy může vědět, co v nich bylo a kolik lidí se nachytalo?
Dero #40
Usměv, Davide, v poslední době je na LaTrine čím dál zajímavěji. :o)
Už ráno, když jsem odcházel do školy, jsem se zeširoka usmíval a těšil se na odpolední komentáře. :o)
mlog #41
Tuším že p. Petr Koubský se hodně baví ;))
Ale Pavel a pepiino to berou nějak vážně.. xD
A myslim, že komentovat názory „je to trestné“ nemá smysl, protože jak už tu padlo „chtěli zjistit heslo cizích schránek – to mi příjde horší“
kajinek32 #42
měl jsem smůlu, že jsem si nejdřív přečetl rADův článek a pak teprv najel ve čtečce na ten tvůj.. bohužel bych se asi take nechal nachytat, ikdyž bych poslal svůj „smtp“ mail, který používám jen jako smtp zadarmo + na příchozí reklamy.. jinak dobrá zkouška.. a co Kevin (?) Mitnik ??
Jozef Izso #43
Ad sociálne inžinierstvo: primárne sa malo jednať o výskum, koľko ľudí sa nachytá. Ale má to aj vedľajší účinok: koľko ľudí si zaujal na toľko, aby o tebe napísali? Dagi len napísal menšie skonštatovanie o pravom zámere experimentu.
Vytvoril si priestor na to, aby sa ukázalo, kto je proti akejkoľvek tejto činnosti a kto je schopný ju obhajovať.
Petr Koubský #44
Omlouvám se panu Koubskému že jsem zneužil jeho jméno. Chtěl jsem trošku vyhecovat některé čtenáře tohoto článku a tak jsem napsal naprosto naivní komentář. No, čekal jsem víc reakcí, ale i tak jsem se pobavil. Podpis Petr Koubský vznikl úplně náhodou a nebyl v tom žádný úmysl. Až po odeslání komentáře jsem si uvědomil, že jsem si jako přezdívku vybral jméno člověka, který není na internetu tak úplně neznámý :).
A k článku bych rád dodal, že je dobře, že se pár lidí chytlo za nos. Třeba si díky této nachytávce dají příště pozor a třeba se tak ochrání před opravdovým podvodníkem.
Honza Hučín #45
Tento článek ukazuje další dobrý důvod, proč nemít e-mail na Seznamu. Aspoň pak nemůžete naletět 🙂
Pavel #46
Dobře, uznávám, že slova „trestný čin“ by se mi možná podařilo obhájit stěží. Samozřejmě nejsem právník. Rozhodně si ale myslím, že to touto cestou není od Davida zcela (a troufám si říct i právně) v pořádku. Každopádně pro mně morálně ne…
Na druhou stranu nejsem zabedněnec a chápu jeho úmysl rozvířit diskusi na toto téma a upozornit na problémy, které si můžeme způsobit vlastní neopatrností. Za ten mu děkuji, pouze nesouhlasím se způsobem, jakým ho prezentoval.
A teď trochu méně vážně. Určitě je úspěšnost tohoto textu způsobena jeho skvěle promyšlenou stavbou – já coby pokusný králík mohu naprosto souhlasit s doplněním článku. Když se pořádně zamyslím nad svým jednáním, je až s podivem, jak nelogicky jsem postupoval. Pustil jsem si notebook někdy ráno, ještě v posteli a značně rozespalý. Opravdu fakt, že se dá takto lehce získat heslo na seznam, odvedl mou otupělou pozornost natolik, až jsem provedl to, co normálně nikdy nedělám. Nikdy neposílám mailem hesla ani třeba piny k mobilu – tedy odteď už na 100 % ne. 😉
Petr #47
Zalozil jsem spesl ucet na seznamu, poslal prislusne tvarovany mail, ale nakonec jeste pripojil drobny text „tento ucet si uzivej s radosti a bez omezeni .)“
PeterBA #48
Musím priznať že ja som taktiež takmer naletel… 🙂 Ale akonáhle som začal písať email, pochopil som že to je absolútny nezmysel. Chválim snahu ponaučiť!
pch #49
Z toho jasně plyne, že počítač by se v žádném případě neměl zapínat před polednem.
rony #50
nehovoriac o tom, ze Peter Koubsky by pouzil nick a zrejme by nekomentoval vobec.
debaty o ‚trestnosti‘ a najma ich rozvijanie je puhym folklorom „naprazdno“. Kto chape kontext La Trine, tak by mu snad mohlo par okolnosti docvaknut.
Chapem, ze najviac kricia ti, ktori sa „chytili“ 😉 a na druhu stranu si vazim aj tych, co sa tu priznali, ze naleteli. Sebareflexia v takomto tvare je cennejsia ako prazdne reci. A debaty o motivacii tych, co sa chytili by bola mozno zaujimavejsia ale bolo by to uz slapanie po kurich okach niektorym ludom, co neprekusnu svoje kvanta jesitnosti 😉
carnero #51
To bylo povedené. Mě se to líbilo, tako příjemná srandička :)
A pro ty kritizující, pokud se nepletu ještě před editací příspěvku začínal text o získání hesla slovy „cituji“ a o tom, že takový primitivní trik funguje. Nikde jsem z toho nevyčetl touhu dgx získat hesla. Nikde tam není napsáno POŠLETE heslo, je to jen citace čehosi, třeba FWD mailu, který dnes ráno Davidovi přišel. Nic víc. Takže bych byl opatrný s tvzením, že David je amorální podrazák. Kdo v tom textu našel Davidovu snahu kohosi podvést je podle mě prostě vůl.
A je to 100% pravda FUNGUJE TO… ale jako vtípek, ne na zjištění hesla někoho cizího.
Kaderas #52
Tohle dle mého gusta!! Nachytat nepozorného na vážkách… a ještě ho přinutit, ať tu chybu udělá celou sám!!:) Jen mi nějak unikl záměr… ano dgx, snažil ses o to, aby si lidé dávali větší pozor na své údaje, ale myslíš, že to zabere?? Lidé byli hloupí, jsou hloupí a ještě hodně dlouhou dobu hloupí zůstanou… :)
David Grudl #53
#52 Kaderasi, jsem přesvědčen o tom, že pro X čtenářů to bude mít pozitivní dopad. Jinak bych se s tím nepáral. Tedy i přes riziko, že pár jedinců, co se ještě ráno pokoušeli nabourat do cizí schránky, mě odpoledne morálně odsoudilo ;)
Stejně tak hlasy, že experiment šel udělat čistě a „akademicky“, vyznívají legračně. Ještě ráno totiž dost osobností mělo za to, že se nenachytá vůbec nikdo – realita byla zdrcující. To by akademická debata jaksi neprozradila, že…
Ebo #54
njn… důvěřuj, ale prověřuj. Jenom blbec by něco takového testoval na své schránce. (inteligent by si vytvořil pokusnou s jiným heslem) Každopádně to ukazuje na blbost našeho národa (nejen laického).
Bezva 🙂
kgb #55
Tedy, na mně to nezabralo. Na La Trine jsem koukal ráno asi tak na dvě minuty před tím, než jsem vypnul PC a šel do školy. Můj způsob uvažování, když jsem byl celkem dost nedospalej byl takovýto: 1. Co je to proboha za jakýsi lama hack guide? 2. Předmět zprávy L4_Tr1N3? 3. To že se má posílat heslo jsem přehlédl, četl jsem to ve spěchu, nicméně vypnuté komentáře, autor odpoledne prozradí proč? Verdikt: Kašlu na to, odpoledne to pročtu pozorněji a zjistím názory z komentářů. A myslel jsem si o tom v zásadě to, že buďto je to podezřelé, nebo z toho bude průser.
carnero #56
#52 Kaderasi, Hloupí zůstanou, ale ti, kteří jen udělali chybu se poučí. Myslim, že pár dalších duší, kteří nebudou posílat heslo cizímu se vždycky hodí. Bohužel stále je hodně lidí, kteří si napíší PIN lihovkou na kreditku a heslo od mailu pošlou na požádání každému. Málokdo považuje heslo za cosi, co se nesmí dát z ruky.
pixy #57
Bravo!
Ji31 #58
Tady to je to ale známý. Asi před půl rokem jsem se brouzdal stránkama o hackingu. Narazil jsem na podvodníka, který se podobným způsobem snažil vymámit hesla od nic netušících obětí.
Naštěstí mě v průběhu psaní emailu napadlo o co jde a poslal jsem mu jen „pěkný“ email.
Ale taky to bylo jen tak, tak.
Bochi #59
Skvělý experiment. A nechápu ty, co vykřikují slova o trestných činech (např. #13 Pavel) a vynáší morální soudy. Naprostou souhlasím s #24 letinka.
Jirka Pech #60
#27 yey, Etická zarážka je víceméně sociologický pojem k jehož nadužívání v podobných situacích často dochází především díky nedostatku relevantních argumentů. Věděl jste to?
Jeden aspekt tohoto experimentu se mi moc líbí (opět pohledem lingvisty). Spojení nechci být škodolibý, ale plno lidí se asi baví při přečtení vašeho komentáře se možná stane folklórem českého Internetu. 🙂
micko #61
Typicky priklad socialneho inzinerstva. Co som vedel uz usudit uz po prvom odstavci. Na tomto a podobnom principe zakladali ludia ktory sa dostali najdalej co sa prelomenia bezpecnosti tyka. Keby som vsak o tom nevedel skor, kludne by som na clanok naletel priznavam sa.
Mirek #62
Přesto. že se počítám k paranoidním lidem (ve vztahu k internetu), patřím k těm, co se „nachytali“, takže ze „záznamu“ poskytnout poměrně hodnověrné informace o tom, jak jsem uvažoval a jaké jsem měl motivace a proč jsem se nachytal:
Přiznám se, že v první chvíli mne opravdu napadlo: „Ty brďo, to bych se, kdybych ovšem byl takovej …, mohl klidně podívat do nějaké cizí schránky! To je fičák :o)))“ V příští desetině sekundy se mi ale „zvedl kufr“ ze sebe sama, že mne vůbec takový myšlenky napadají.
Vzápětí jsem začal řešit jiný problém, a to, že totéž může kdokoli provést mně. Dostal jsem strach a právě ten strach asi ochromil mou schopnost rozumného uvažování, takže ani zmínka "Administrátoři Seznamu to používají při práci „v terénu“ mi nedokázala otevřít oči, i když jsem se jí v duchu zasmál. Navíc, článek je psán velmi důvěryhodnám tónem a často jsem si kladl otázku, jak jsou vlastně moje data na free mailu zabezpečena před útokeme zevnitř.
Takže jsem to „prubnul“ … ALE … z adresy, na které mi nesejde. Je tam heslo, které jinde nepoužívám a dokonce ani jinde nepoužil. Totiž, a to patří k mé paranoie, hesla měním a používám různá na různých místech.
Když mi během jedné sekundy přišla odpověď, ta co je zmíněná v článku, uvědomil jsem si teprve, že jsem pako, neb hesla jsou jednosměrně zašifrovaná, (alespoň doufám :o), takže by mi je stejně nikdo nemohl poslat, i kdyby chtěl. Leda, že by systém umožňoval přístup ke stejným datům i pod nějakým „univerzálním“ heslem … BTW: kde se vlastně dozvím, jak je technicky vyřešená ochrana dat na freemailu?
Jediné, čeho jsem se bál, abych nebyl jediný, kdo na tohle naletěl :o) Heslo na schránce, jsem totiž hned změnil, takže případný útočník, by stejně nemohl mít žádný užitek (kombinace: nepoužívaná schránka + změna hesla)
Marty #63
Uz celkem davno – pred xx lety jsem mel velmi jednoduchy chat – nic velkého, nekolik desitek, mozna stovek registrovanych uživatelů. Byla tam moznost zverejnit e-mail, pak sis mohl zvolit nick a heslo. Klasika, jako vsude jinde.
Ale je naprosto neuveritelne, kolik lidi trousi heslo do e-mailu vsude mozne po internetu. Ne, nebylo to 10%, ani 60%, temer 95% uzivatelu z tech, kteri zadali mail, melo stejne heslo ve sve mailove schrance jako na nejakem uplne neznamem neduveryhodnem chatovem severu na f2s.com
charlie #64
No, po kratkym zauvazovani a shlednuti predmetu jsem poslal pobavenou zadost o statistiky s par smajlikama, a ted jsem sokovanej kolik lidi se nechalo nachytat, ted jim stouplo do hlavy to ponizeni z toho jak jsou hloupi, a musi se tady ohanet silnymi slovy.. Omg, to uz nikdo nema smysl pro recesi?
Pepíno #65
He he, hustý, tušil jsem, ale taky jsem si to zkusil, ale vůbec mě to netrápí, email na seznamu mám jen kvůli tomu, abych mohl psát komentáře na novikách.cz a pro jistotu jsem změnil stejně i heslo. :)
Llaik #66
On je nejaky zakon hovorici o lidske hlouposti?
Proc nejaky admin potrebuje neci heslo?
Jestli tu nekdo porusil zakony, tak to byli vsichni nachytani. Porusili zakon zdraveho rozumu. Heslo je moje, moje a jen moje.
Btw – nachytal se nekdo, kdo precetl Umeni klamu? Nebo ta knizka slouzi jako preventivni ochrana? :)
Pika #67
Niesu taketo paste na beznych userov uz prezitkom? Ad vyzkum… Hodim granat (odis.) do miestnosti, kolko ludi (a ci) prezije?
hvge #68
Velmi pekny experiment. Vobec by som sa nedivil, keby z neho casom vznikol vobec prvy hoax, ktory nebude obsahovat formulku „posli tento e-mail vsetkym ludom v tvojich kontaktoch, inak osprosties“ :)
wayfarer #69
#67 Piko, nejsou prezitkem. stale funguji jak vidno…
carnero #70
#67 Piko, Musíš uznat, že experiment je nejúčinejší způsob, jak zjistit co a jak se bude chovat. Tudíž, pokud je to přijatelné, udělá se experiment. Hodit granát do místnosti není přijatelný kvůli ztrátam na životech a masivnímu poškození budovy. Experiment s hesly je přijatelný, neboť nikdo neutrpěl ztráty. dgx hesla ani neviděl a jediná poškozená věc je ego některých jedinců… což už není chyba experimentu, ale jeho nepochopení. Navíc experimentu se nikdo neúčastnil nuceně bez vlastního souhlasu, tudíž bych řekl, že proběhl v naprostém pořádku a bez morálního či právního pochybení.
Sodalite #71
Cool, v prní fázi jsem to taky chtěl zkusit, leč L4_Tr1n3 mě trošku nakoplo. Rozhodně se Davovi povedlo nachytat asi dost lidi.
Trochu mě udivuje, že se někteří ohánějí trestným činem a morálkou – vždyť jestli nechtěli získat cizí heslo, tak se nenachytali. Teď tvrdí, že chtít cizí hesla je trestný čin a svinstvo, ale co chtěli oni, když poslali ten email?
Zerryk #72
#63 Marty, To už ale není sociální inženýrství, ale podraz, že ta hesla v db nešifruješ a ještě zkoušíš… kdo si má pamatovat xxx naprosto odlišných hesel ke každé blbosti, co před použitím vyžaduje registraci.
Roman #73
Ja som sa sem dostal z blogu R.H. Mozno je to tym ze som jeden z toho velkeho stada navstevnikov co sleduje jeho dusevny vyvoj. DGX, nepopudilo ho (trebars) nahodou to, ze by poslal tiez takyto hackovaci majl na ktory mu prisla ta tvoja vtipna odpoved? Jeho reakcia sa mi totiz zdala trochu prehnana.
Havran #74
Ked to mal byt test na postreh tak som presiel… Huraa :)
Nikdy ma take veci nezaujimali, takze by som sa to nenamahal skusat. Uz v polovici som zacal tusit ze je to kravina a ked som dosiel ku koncu, uz som si bol isty ako to DGX myslel.
Raz som sa dal nachytat na podobny kvaziexperiment na inu temu (ziadne hesla) odvtedy si 3× rozmyslim co kam pisem :).
Bochi #75
Nejen, že RH zareagoval nepřiměřeně podrážděně (že by se také nachytal? 😉, ale svojí obvyklou radikálností v soudech se dostal do vlastního protimluvu. V jedné větě totiž píše:
a o kousek níže:
Když jsem ho na to upozornil, zareagoval typicky – příspěvek nezveřejnil, neboť se mu jaksi nehodil do krámu.
JersyWoo #76
Gratuluji! A pak, že sociální inženýrství nefunguje.
Marek #77
Tak mě napadá, že by to nakonec nemusela být jen jakási nefunkční „rádoby“ studie známé zkutečnosti, že lidi jsou blbí až na půdu (jistě mě nevyjímje), ale klidně by to mohlo i docela dobře fungovat. Stačilo by, aby hesla byla zasílána na adresu mimo působnost seznamu např cokoliv@seznam.admin.cz – tím by byl zajištěn její stálý provoz – a získaná hesla by byla archivována a následně zasílána těm, kteří se na ně uvedeným postupem dotazují. Pokud by náhodou ještě tento systém požadované heslo neznal prostě by chvíli s odpovědí posečkal do chvíle kdy ho dotyčný ňouma sám dobrovolně „nasdílí“ ve snaze prohrábnout sousedovic schránku. 🙂
llook #78
#77 Marku, Tak tohle by už asi bylo trestné. Jednalo by se s největší pravděpodobností o Poškození a zneužití záznamu na nosiči informací (§ 257a TrZ):
Možná taky
<i>
Porušování autorského práva, práv souvisejících s právem autorským a práv k databázi</i>
(§ 152 TrZ), nevím nejsem právník.U tohoto experimentu nevidím ten požadovaný úmysl ani společenskou nebezpečnost, takže je to v pořádku. Možná akorát porušení smluvních podmínek (nevím, nečetl jsem je), které mělo za následek zrušení účtu.
juneau #79
#75 Bochi, Komentovat u RH, to je opravdu mirne k smichu. Ne zcela v souladu s jeho myslenkami jsem mu napsal, ze Davidove akci fandim, protoze vsichni byli akorat nachytani a ne podvedeni a ackoli by se poucili z obojiho, tak nachytani je asi 1000× vyhodnejsi nez podvedeni.
No, take se mu to nehodilo do kramu. Ale co si budeme povidat… hlavne ze ma zase o cem psat.
Whiterook #80
No já jsem také naletěl :) Normálně jse mi to nestává, ale naletěl jsem. Na seznam jsi nějak dávám bacha a tak jsem si chtěl ověřit jestli existuje normálně účet na lidé get.password :) Ale nedostal jsem se k tomu.
A pak také ten předmět. Pochopil jsem, že to znamená La Trine, ale nebylo mi to divné, protože jsem si v tu chvíli myslel, že mezi admini seznamu patří i DGX :D Sice kravina, ale v tý chvíli mě nic lepšího nenapadlo.
Ale další věc proč dle mého názoru naletělo mnoho lidí je i fakt, že od DGX by nikdo nečekal podraz. Je už tu prostě dostatečně známí a my mu důvěřujeme, normálně takovím to článkům (od neznámích lidí) nevěnuji pozornost.
Takže díky. Přístě už na to nenalítnu ani Pixymu ;)
Niobi #81
jestli potrebujete hesla k centrumu.cz podivejte se na muj blog #stary-odkaz-#stary-odkaz-http://www.abclinuxu.cz/blog/Niobi_v_SuSE/2005/9/24/102713
SniperEd #82
Kdybys dal ten předmět jinačí, tak ti na to skočí 2× více lidí
Sodalite #83
#75 Bochi, #79 juneau Taky jsem mu přispěl a rovněž bez odezvy. Jes zajímavé, že ačkoliv píše o diakritice a nabádá k jejímu používání, několik uveřejněných příspěvků diakritiku nemá. Ja ji měl. Ale v případě RH faktoru je mi to upřímě jedno.
conceptuoso #84
JJ, tohle znám. Dokonce už asi 2 roky. Jednou jsem hledal díry na netu a našel sem stránku, kde bylo, jak získat heslo na email. A ten týpek tam psal přesně jak ten email napsat. A vysvětloval, jak to funguje když kliknem na „Zapomenuté heslo“. Kupodivu sem se na to nenapálil a napsal jsem mu >> "Chlape, to si fakt myslíš, že sou lidi tak blbý?! " … 🙂
Zlý bubák #85
#81 Niobi, Opakovaný vtip není vtipem.
yey #86
#60 Jirko Pechu, Jirka Pech: Myslim, ze eticka zarazka neni pojem ze sociologie. Etika je veda, zda se ponekud starsi a zabyva se lidskou cistotou a k sobe a jinym existencim.
Jsem si vedom problemu, na ktery poukazuje dgx a sam ho jako admin vnimam.
Ja se fsak budu bit, ze podavani jedu misto leku pro stimulaci imunitnimu systemu je nespravne a dlouhodobe vzdy ztratove…
Ze svych zkusenosti soudim, ze podstatna cast takto duverivych lidi bude nastvana, ze naleteli a sam problem bezpecnosti si ani neuvedomi, ci nebude chtit priznat. Hlupaka pro experiment si muze clovek delat ze sebe, ne z tech druhych.
(jinak te jirko zdravim, your (at) enemy (dot) cz)
sonordrums #87
Tleskám ti! Upřímně ti tleskám
Orion #88
Na tenhle clanek sem narazil uplnou nahodou a je vybornej, vybornej, vybornej :o)
xtrappatoni #89
#3 Petře Koubský, :oD 😁
dik! som sa pobavil
c.0x #90
že by další vlajkové fórum binárních schizofreniků?
jojo,učte se z vlastních chyb,lamky
Petr #91
Všichni jsou posedlí bezpečností, když se jich u pokladny v Tescu zeptají na PSČ, tak to chtějí hlásit na policii a nakonec pošlou svoje „intimní“ údaje v dárkovém balení kam se jim řekne. Sdělí „ochotně“ kdo jsou a koho chtějí špehovat. Dobrý materiál pro psychologický (psychiatrický?) kongres.
Cooper #92
Tak to je hukot…už jsem to chtěl zkusit…né že bych se chtěl hrabat někomu fpoště ale jen tak z prdele jestli to fakt fachá…a ono to nefachá!!!!
Je to ale ůplně hustě vymyšlený…
Prostě M A Z E C ! ! ! !
dragon #93
#4 pepiino, Vy nečetli a rozmrazili?????
tomik #94
Eeeeeee…ja to nechapu:( To je prece blbost. Kazdej kdo by to chtel vyzkouset si prece za par vterin zalozi novu schranku s novym heslem, ktery nepouziva a je mu uplne ukradeny. Ta schranka od ktery dostanete klic je tedy prazdna a to heslo je bezcenny. Takze…cely je to k hovnu:)
Okrouhlica #95
Kdo nebyl blbej tak si na tenhle hloupej vtip založil novej mejl, já sem se taky nechal zmást, ale né tady, na ňáky jiný stránce s hackem, ale nebyl jsem zas tak blbej abych to posílal z mýho mailu a rovnou sem si založil mail „paswanter@seznam.cz“ s heslem „12345“. Pak sem zjistil že je to blábol, a akorát jsem se zasmál sám sobě a nakonec to nejlepší „ponaučil“.
A jen tak pro zajímavost všem jsem zjistil že stránky s hackem jsou k ničemu a čistě jenom k podporování lam.
Petr #96
Chci se jen vyjádřit na to co tady píšete, pokud je mi známo, pan X nabádá k trestné činnosti a považoval bych to za právní delikt! Pokud by tímto způsobem napadl mě, postupoval bych určitě žalobou na pana X !!!
To že někdo na to skočí je jedna věc, ale pan X k tomu nabádá pod záminkou získat důvěrné informace = trestná činnost !!!
jenik #97
Není to na žalobu a žádné nabádání, ale je to stupidní test. Normální je, že to většina testne, ne ? Cos čekal jiného. Ani do solidní psycho kategorie nelze tento „chyták“ zařadit. A že se na to chytili IT odborníci !? Pak to nejsou odborníci, ale zvědavci. 🙂
Jana #98
Ne kazdy. Ja jsem to napr. zkusila ciste ze zvedavosti – chtela jsem si nechat poslat heslo k jedne z MYCH schranek s pouzitim schranky vytvorene ciste pro tento ucel, s heslem, ktere nikde jinde nepouzivam. Takze zamer dostat ze me takto heslo se trochu minul ucinkem. 😉
x-][-R #99
mozna kdybych nevidel to: L4 Tr1n3 tak bych se nezarazil už na druhým řádku… Zarazil bych se až na 6. :)))
rainbof #100
Za trestnou cinnost povazuju lidi jako jsi ty. 2× si clanek precti. a zeptej se nekoho na nazor.
CrossCriss #101
No ono je vlastne tohle zpusob jak ziskat heslo k necimu mailu.....urcite na to naletelo hodne lidi.....
pro nekoho kdo se che pomstit nebo jen nekomu uskodit sqela vec.....kazdopadne ja to nemam v planu =)
Romcza159 #102
Tohle znam jeste mi hacknete e-mail
Jéra DJ #103
Ale kecy! Ono to funguje, ale trochu jinak. Musíte tento článek vytisknout, ale místo „get.password@seznam.cz“ napsat svůj mail. Nejlepší je si vytvořit nový s nějakou důvěryhodnou adresou. A pak tento vytisklý článek dát do rukou osoby, které se chcete nabourat do mailu se slovy, že jste našli návod, jak zjistit heslo na e-mail. A milá osoba to jistě vyskouší a její heslo dostanete na svou adresu.
jmeno #104
omg..nastesti me lidska hloupost uz dlouho neprekvapuje…gór kdyz jde o soc.ing.
Petr Brádler #105
Tenhle článek jsem si četl hned po jeho vzniku zhruba před rokem, ale rozesmálo mě, když mi dnes přišel e-mail, ve kterém se píše to samé akorát o Centrumu.cz :)
michaela #106
tenhle článek j efakt suepr!!
jakub zidek #107
heslo se da zjistit jednodusim zpusobem a to jest vymlaceni hesla z dotycne osoby
Comodor W. Falkon #108
Teoreticky ano… Ale to bys tu osobu musel nejdřív najít v RL… ;)
Jinak – patrně jediná možnost, jak může někdo zjistit na Seznamu konkrétní podobu hesla, aniž by mu ji přímo někdo napsal, či mu ji odeslal nějaký KeyLogger, je skrze pokusné hashování…
…prostě by si dotyční zvědavci/zvědavkyně museli sehnat stejný šifrovací program, jaký používá Seznam.cz, nechat jím opakovaně procházet všechny možné kombinace znaků a mezitím žádat uživatele Seznamu o linky na tu či kterou stránku a doufat, že nesmažou sekvenci &auth=&…
…když si to představíte – byl by to obrovský objem dat…
…zaručeně dost velký na to, aby to většinu lidí odradilo…
Myslím, že každý, kdo má heslo o délce 4+ znaků, či dokonce ještě psané v Leetsu, může být celkem v klidu…
Umělec #109
Nechápu, proč si všichni stěžujou. Mně se to náhodou líbí… připomíná mi to můj oblíbený dokument – Český sen.
mim #110
hh moc sem u toho nepremyslela nectu prilis pozorne a nezajimave pasaze preskakuju, tak az do chvile nez sem si precetla tvar emailu sem se tesila komu ze svych znamych co provedu (samozdrejme neskodneho jen tak pro srandu) ovsem ve chvily kdy sem spatrila jake udaje po me chteji v tom emailu se mi seplo v hlave varovani a doslo mi jaka totalni kravina to je 😁:-D:-D
Timto dekuji autorovi za to jak me pobavil a doporucuju lidem co se tu rozciluji, aby radeji venovali cas zamysleni se nad svoji naivitou.
Anti #111
Ach chlapci.. a to ste ako cakali ze dostanete heslo v otvorenej podobe ? =)
Xsoft #112
To je tvuj nazor, muj je opacny. Kdyz nekomu napisu „úpsli mi prosim sve heslo“ je to v podstate stejne jako tento postup.
Na ICQ v mailech a vsude je napsano, aby lidi nikomu sve heslo nedavali. Stejne jako rodice uci deti, aby se nebavili s cizimi lidmi?
A mimochodem, zkus neco hledat na p2p siti. Je tam tuna veci „how to get password to hotmail“ a naprosto stejny postup. No a denne na takovyhle mail prijde 800 a i vic mailu.
Lidi jsou proste blby, takze tento clanek vrele doporucuji lidem precist a i s nim souhlasim. S tim ze je to proti zakonu nikoliv (to spis pisi lidi co se nechali nachytat, no co .. tak si zmenite heslo a jedete dal).
HOAX #113
autore:opravdu by bylo vhodne se zamysletz kolik jedincu to vyzkousi ze sveho emailu..
rekl bych ze aspon trosku chytry pocitacový laik si nejprve zalozi novy email a pak to vyzkousi..
ale opravdu by me zajimalo jakto ze mas tolik casu aby si testoval znalost a opatrnost uzivatelu serveru seznam.cz
s pozdravem HoAX
paxik #114
Přesně tak. Než někoho obviníte z trestného činu, zkuste se zamyslet. Ono je totiž moc pěkné, machrovat porušením zákonů nebo žalobou, ale takhle si lidskou slušnost nevydupete…
Mr. Jack #115
Tleskám!
Opravdu mám obrovskou radost z toho, jak autor nachytal lidi, který toužili po tom dělat něco podobnýho jiným.
Perfektní článek!
Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.