FBI:n oma sosiaalinen media hakkeroitiin, saaliiksi kaikkien käyttäjien tiedot

Yhdysvaltain liittovaltion poliisin FBI:n käyttäjätietokanta on saapu napattua rikollisten käsiin todella yksinkertaisella - ja jopa äärimmäisen nololla - tavalla. Kyseinen tietokanta sisältää noin 80 000 erittäin merkittävän amerikkalaisen ihmisen tiedot. Kyseiset ihmiset on valittu käsin FBI:n toimesta InfraGard-palvelun käyttäjiksi.

InfraGard on palvelu, johon pääsevät vain tietoturva-alan ammattilaiset sekä yhteiskunnan kannalta kriittisestä infrastruktuurista vastaavat ihmiset. Palvelussa FBI kouluttaa näitä tärkeiksi pitämiään ihmisiä uusimmista tietoturvariskeistä, mutta mahdollistaa myös käyttäjien välisen keskustelun ja verkostoitumisen. Eli tavallaan todella, todella harvojen ja valittujen ikioma Facebook.

Nimimerkillä USDoD esiintyva hakkeri onnistui pääsemään sisään järjestelmään ja keräämään sieltä kaikkien palvelussa olevien käyttäjien nimet ja yhteystiedot itselleen. Nyt tuo paketti on myynnissä verkon pimeillä markkinoilla 50 000 dollarin (noin 47 000 euron) hinnalla kenelle tahansa, joka kyseistä käyttäjälistaa sattuisi tarvitsemaan. FBI on jo vahvistanut listan aidoksi.

Noloksi tapauksen tekee se, miten siinä onnistuttiin.

USDoD oli yksinkertaisesti koettanut onneaan. Hakkeri oli etsiskellyt tunnetun amerikkalaisen tietoturvayhtiön johtajan henkilötiedot käsiinsä ja rekisteröitynyt näillä tiedoilla palveluun - käyttäen kuitenkin itse luomaansa sähköpostiosoitetta. FBI oli "tarkistanut" tiedot ja hyväksynyt hakemuksen, ilman sen kummempia varmistuksia.

Palvelussa oli tarjolla näppärästi myös API-ohjelmointirajapinta, jonka avulla palvelussa olevia ihmisiä pystyi etsimään massoittain. Pienellä Python-ohjelmalla tuon ohjelmointirajapinnan kautta saikin sitten näppärästi imaistua kaikkien palvelussa olevien käyttäjien tiedot talteen.

• hakkeroitu
• FBI