В марте 2020 года бывший премьер-министр Австралии Тони Эббот запостил в Instargam фото своего посадочного талона. Хакеру, известному как Алекс Хоуп, удалось по этим данным вытащить паспортные данные бывшего главы государства и его телефон. Хакер не собирался использовать информацию во вред, наоборот, пытался несколько месяцев донести до экс-чиновника сообщение о такой уязвимости.
Редактор AIN.UA рассказывает детали истории (ее хакер описал в блоге, также о ней написало австралийское медиа SBS). Самое примечательное здесь: Хоупу даже не пришлось прибегать к “хакерским штучкам”, чтобы получить такие данные, алгоритм взлома — очень простой.
Что случилось с фото в Instagram
21 марта 2020 года Тони Эббот запостил в своем Instagram фото посадочного талона на рейс авиалиний Qantas из Токио в Сидней. По словам хакера, один из его друзей в групповом чате скинул ему фото талона с подписью: «Можешь это взломать?»:
По словам хакера, они с друзьями как раз тогда обсуждали проблему с посадочной документацией: люди часто постят ее в соцсети с веселыми подписями вроде «боже, я еду в отпуск», не понимая, насколько это опасно. Поэтому он взялся за задачу.
Как проходил взлом
Сосканировав штрих-код с талона, хакер получил номер брони Эббота. А с помощью номера брони и фамилии смог залогиниться под именем экс-премьера на сайт авиакомпании.
Причем, чтобы получить номер брони (booking reference), можно было и не сканировать штрих-код: он был указан на самом талоне:
Залогинившись от имени экс-премьера, хакер зашел во вкладку Manage Booking, а затем в браузере Chrome посмотрел HTML-код страницы.
Затем, просто введя по Ctrl+F слово passport, он прямо в коде получил все данные документа экс-чиновника.
Далее, он точно также по австралийскому телефонному коду 614 нашел и телефон Эббота. Вся процедура заняла у него около 45 минут.
С тех пор, по словам Хоупа, он неоднократно пытался связаться с офисом Эббота, австралийским правительственным органом по кибербезопасности Australian Signals Directorate (его поблагодарили за информацию) и авиакомпанией (там заявили, что обновили протоколы безопасности). С Хоупом, по его словам, обсудил ситуацию ассистент экс-премьера.
«В целях безопасности нам стоит менять нашего премьера каждые шесть месяцев и никогда не использовать одного и того же премьера дважды», — шутит хакер.