"Аз съм от този тип хора, които публикуват снимки в Инстаграм от последната ми почивка. Аз съм също от този тип хора, които туитват за закупуването на прекалено скъпа мебел, която онлайн реклама ме е накарала да вярвам, че ще промени живота ми. Аз, общо взето, съм нормален."

Това пише Дони О'Съливан, редактор на изданието "Си Ен Ен Бизнес", в началото на своя разказ за това как е позволил на хакер да влезе в живота му с няколко елементарни стъпки. 

Всичко започва на последното издание на ДЕФКОН в Лас Вегас, САЩ, една от най-големите хакерски конференции в света. О'Съливан е там, за да отрази посланията на т. нар. "бели хакери" към големите корпорации и правителства - "Защитата ви не е добра."

Там, някъде измежду различните панели, се запознава с Рейчъл Тобак - абсолютна знаменитост сред множеството от хакери на конференцията. Три години подред е победител в конкурс, в който хакерите атакуват компания на живо пред стотици хора. Малка подробност - целият пробив се случва само през телефон. 

Тобак е специалист по т. нар. от специалистите "социално инженерство". Работата ѝ е свързана с добронамерено проникване в системите на големите корпорации, засичането на уязвимости и навременното алармиране за запушването на дупките. Използва както свои собствени софтуерни разработки, така и широкоразпространени приложения от всекидневния ни живот. 

О'Съливан взима решение: моли Тобак да го хакне

Хакерът вади телефона си, последен модел на най-разпространения смартфон в света, и буквално за около 10 минути успява да получи домашния адрес, телефонния номер и да открадне трудно спечелените хотелски точки на О'Съливан. Всичко това без да разполага с паролите му и без да се налага да прониква в имейл адреса му. 

"Може би най-жестокото ѝ действие беше, че успя да смени мястото ми в самолета, като ме премести от просторното място, което бях избрал до средна седалка отзад, до тоалетните", удивлява се репортерът. 

Тобак обяснява, че всичко това е направила като използвала информация, която намерила онлайн - например с кои авиокомпании лети обикновено О'Съливан и в какви хотели отсяда. Всичко това е възможно поради една причина - репортерът туитва за тях твърде често. 

Следваща стъпка: Тобак звъни на някои от тези любими на О'Съливан компании, използвайки софтуер, който променя гласа ѝ и той да звучи като мъжки

"Звучи сложно, но е притеснително лесно да се направи", обяснява той. 

Как се получва домашен адрес? Хакерът, използвайки вече споменатия софтуер, звъни на компания за мебели. Тобак твърди, че е жената на жертвата и че иска да провери дали фирмата има правилния адрес на семейството, преди да направи поредната поръчка. Нарочно дава грешен адрес и човекът от другия край на телефона я коригира с пълния и истински домашен адрес на О'Съливан.

Същото, с различни средства, се случва със самолетни компании, банкови институции, административни представители, хотелски вериги. Всички те предават личните данни на своите клиенти, убедени, че разговарят именно с тях. 

Всъщност точно това е работата на "белите хакери" като Тобак: опитват се накарат компаниите да спрат да мислят толкова за улесненията на своите клиенти, а да започнат да изграждат много по-сигурни мрежи за верификация на данните. На последния ДЕФКОН основната тема е точно тази - време е корпорациите и големите компании да подобрят своите процеси за удостоверяване на самоличността по телефона. Една от основните ѝ идеи, които се опитва да наложи, е следната: когато клиент се свърже с компанията по телефона и иска да направи някаква промяна по своята заявка, да не се търси просто датата на раждане, за да се потвърди самоличността, както сега. Тобак предлага да се изпраща код на телефона или имейл адрес и когато той пристигне, клиентът да го прочете пред служителя. 

Това обаче е много по-лесно да се каже, отколкото да се изпълни. Често авиокомпаниите например получават обаждания от клиенти, които са в спешна ситуация от тяхното пътуване. Ако започнете да молите клиентите да отделят допълнително време да четат кодове по телефона, които не винаги пристигат бързо, рискувате да ги загубите в бъдеще. 

"В крайна сметка това е дилемата за защита на потребителите - всички искаме да сме по-сигурни, но и всички искаме да бъде по-лесно", коментира, след като е бил "хакнат", О'Съливан. 

Опитът му от последния ДЕФКОН му доказва, че докато влизането в нашите социални профили или имейл акаунти е сравнително трудно - често се иска освен парола и втори код, който изпраща текстове на нашия телефон, то цели други групи от нашия всекидневен живот са в сериозен риск от пробив. 

"Нужен е просто един хакер с добър телефон, няколко основни приложения и големите корпорации са готови да предадат потресаващо количество частна информация за нас."

Междувременно Рейчъл Тобак и нейните колеги - цяла плеяда от "бели хакери", продължават борбата си да накарат компаниите да погледнат по-сериозно на личните данни на своите клиенти.