2008-ban, az amerikai választási kampány hevében derült ki, hogy Sarah Palin, egykori alaszkai kormányzó Yahoo-s postafiókját valaki feltörte, méghozzá nagyon egyszerű módszerrel. Azóta ezt az esetet sokszor idézik fel a szakemberek is akkor, amikor a webes szolgáltatásokkal kapcsolatos biztonsági óvintézkedésekre hívják fel a figyelmet.
Egy 20 éves, David Kernell nevezetű fiatalember 2008-ban úgy vélte, hogy Sarah Palin a Yahoo levelezőszolgáltatásának igénybevételével olyan üzleteket próbál kötni, amelyeket amúgy nyilvánosságra kellene hoznia. Így aztán az az ötlete támadt, hogy a kormányzó postafiókjának feltörésével próbál bizonyítékot szerezni a feltevéseire. A hekkelés során egyszerű módszerekkel próbálkozott, és a jelszó emlékeztető funkcióban rejlő lehetőségeket fordította a saját céljaira. Az interneten addig gyűjtötte az információkat Palinről, amíg meg nem tudta válaszolni a kormányzó által, a jelszó emlékeztetőnél beállított kérdést. Amikor ezzel sikeresen végzett, akkor onnantól kezdve tulajdonképpen szabadon át tudta böngészni a postafiókban található összes e-mailt.
Azonban a levelezésben semmi olyat nem talált, ami terhelő lett volna Palinre nézve. De ha már egy ilyen "sikeres" akciót végrehajtott, akkor az általa beállított - popcorn - jelszót közzétette egy internetes fórumon, így tulajdonképpen a kormányzó Yahoo-s postafiókja egy időre teljes mértékben kiszolgáltatottá vált. Sarah Palin az eset után úgy nyilatkozott, hogy ez volt a kampány legrombolóbb, legtöbb kárt okozó incidense.
A támadás észlelése után azonnal megkezdődött a nyomozás az ügyben, és a hatóságok végül meggyanúsították David Kernellt. Az ügyben eljáró ügyész 18 hónapos börtönbüntetés kiszabását kérte, míg a vádlott ügyvédje felmentésért folyamodott. Végül a bíró egészen pontosan egy év és egy napos börtönbüntetést szabott ki a fiatal támadóra.
Tanulságok
A biztonsági incidens - noha nem ez volt az első ilyen jellegű támadás - nagyon jól rávilágított egy olyan gyenge pontra, amely rengeteg felhasználói fiókot veszélyeztethet. A biztonsági kérdésekre adott válaszok - amennyiben olyan információkra épülnek, melyeket a felhasználó közzétett az interneten, például közösségépítő weboldalakon - akkor azok könnyedén visszafejthetők. Ezért a biztonsági kérdésekkel működő jelszó emlékeztetők esetében a válaszok beállításakor nagyon körültekintőnek kell lenni.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
