Hackere krever $ 10,000-premie for å bryte inn i StrongWebmail

Det var det Telesign fant ut denne uken. En leverandør av stemmebasert autentiseringsprogramvare, utfordret selskapet hackere til å bryte inn på sitt StrongWebmail.com-nettsted sent i forrige uke. Prisen? US $ 10,000.

På torsdag hevdet en gruppe sikkerhetsforskere å ha vunnet konkurransen, som utfordret hackere til å bryte inn på e-postkontoen til StrongWebmail CEO Darren Berkovitz og rapportere tilbake detaljer fra hans 26. juni kalenderoppføring.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hackerne, ledet av sikker vitenskapsforsker Lance James og sikkerhetsforskere Aviv Raff og Mike Bailey, ga opplysninger fra Berkovitzs kalender til IDG News Service. I et intervju bekreftet Berkovitz at disse detaljene var fra hans konto.

Berkovitz kunne imidlertid ikke bekrefte at hackerne faktisk hadde vunnet premien. Han sa at han måtte sjekke for å ha bekreftet at hackerne hadde overholdt konkurransebestemmelsene, og la til at "hvis noen gjorde det, vil vi ganske enkelt sette hodet ned," sa han.

Konkurransebestemmelser hindrer forskerne fra å avsløre hvordan de utførte sitt angrep, men de kunne også kompromittere en test StrongWebmail-konto opprettet av IDG News Service. IDG-angrepet fungerte ikke i utgangspunktet, men lyktes når sikkerhetsprogramvaren, kalt NoScript, ble deaktivert i Firefox-nettleseren, kjører på en Windows XP-maskin.

"Vi fant flere angrep på tvers av nettsteder som tillater oss å angripe andre brukere," James sa. "Du må ha en registrert konto for å starte angrepet."

StrongWebmail bruker Telisigns telefonautentiseringssystem for å gi webmailbrukere et annet sikkerhetslag. I stedet for å logge inn med brukernavn og passord, må kundene også skrive inn en hemmelig kode som blir ringt til dem når de vil logge inn på nettstedet.

Bankene har brukt disse telefonbaserte autentiseringsserverne for å bekjempe cyberkriminelle som ofte stjele brukernavn og passord fra ofre.

Men denne typen autentisering - kalt tofaktorautentisering - kan imøtekommes av hackere ved å bruke det som er kjent som et menneske i midtangrep. I dette angrepet venter hackers programvare at brukeren lovlig logger seg inn på nettstedet og deretter tar over. «De venter bare på at du logger på, og de kan gjøre hva de vil,» sa James. «James sa at disse konkurransene kan være morsomme, men de gir ikke et realistisk mål for ekte sikkerhet fordi de er plaget med regler. StrongWebmail-konkurransen forbyr å jobbe med en insider for eksempel. "En dårlig fyr bryr seg ikke om regler, sa han."

Webmail-sikkerhet har fått stor oppmerksomhet i løpet av det siste året. I september fikk en hacker tilgang til Alaska Governor Sarah Palins e-postkonto og publiserte detaljer om henne korrespondanse på Internett. En universitetsstudent ved navn David Kernell har blitt belastet ved den hendelsen.

Uansett konkurransens utfall, sier Berkovitz at han håper at hans konkurranse får brukere - og webmailleverandører som Google og Yahoo - tenker mer om sikkerhet. "Vi hevder ikke at dette er den ultimate, ultimate løsningen," sa han. "Men vi prøver å gi oppmerksomhet til brukernavnet og passorddelen."