这是Telesign本周发现的。该公司是一家基于语音认证软件的供应商,它在上周晚些时候向黑客侵入StrongWebmail.com网站。奖项?
周四,一群安全研究人员声称赢得了比赛,这个比赛挑战黑客进入StrongWebmail首席执行官Darren Berkovitz的Web邮件账户,并在6月26日的日历条目中报告详细信息。
[更多阅读:如何从Windows PC中移除恶意软件]
由Secure Science首席科学家Lance James和安全研究员Aviv Raff和Mike Bailey领导的黑客提供了Berkovitz日历中的详细信息给IDG新闻服务。在接受采访时,Berkovitz证实了这些细节来自他的账户。然而,Berkovitz无法证实黑客真的获得了这个奖项。他说,他需要检查以确认黑客是否遵守了比赛规则,并补充说,“如果有人这样做,我们会低头看看,”他说。“比赛规则阻止研究人员透露他们如何进行攻击,但他们也能够破坏由IDG News Service设立的一个测试StrongWebmail账户。 IDG攻击最初并没有起作用,但是当在Windows XP机器上运行的Firefox浏览器上禁用了名为NoScript的安全软件时,它成功了
“我们发现多个跨站点攻击可以攻击其他用户,”詹姆斯说过。 “您必须拥有一个注册帐户才能发起攻击。”
StrongWebmail使用Telisign的电话验证系统为webmail用户提供另一层安全性。客户不必使用用户名和密码登录,而是必须输入一个密码,只要他们想登录该网站就可以打电话给他们。
银行一直在使用这些基于电话的身份验证服务器来帮助打击网络犯罪分子窃取受害者的用户名和密码
但是这种认证 - 称为双因素认证 - 可能会被黑客利用所谓的中间人攻击阻止。在这次攻击中,黑客的软件等待用户合法登录网站,然后接管。 “詹姆斯说,”他们只是等着你登录,他们可以做任何他们想做的事情,“詹姆斯说,这些比赛可能很有趣,但它们没有提供真实安全的现实措施,因为它们受到规则。例如,StrongWebmail比赛禁止与公司内部人员合作。 “一个坏人不会关心规则,”他说,“在过去的一年里,Webmail的安全性得到了很多关注。9月份,一名黑客获得了阿拉斯加州州长Sarah Palin的电子邮件帐户,并发布了她的详细信息大学生David Kernell被指控在这起事件中。“无论比赛结果如何,Berkovitz说他希望他的比赛能够得到用户 - 而像谷歌和雅虎这样的网络邮件提供商 - 更多地考虑安全问题。 “我们并没有声称这是最终的终极解决方案,”他说,“但我们试图将注意力集中在用户名和密码部分。”