image

Gehackte YouTuber: tweefactorauthenticatie grootste zwakte

donderdag 27 oktober 2016, 14:25 door Redactie, 17 reacties
Laatst bijgewerkt: 27-10-2016, 14:32

Regelmatig adviseren experts en internetbedrijven om tweefactorauthenticatie in te schakelen omdat dit een extra beveiligingslaag is, maar een securitybewuste YouTuber zag hoe de maatregel er uiteindelijk voor zorgde dat een aanvaller zijn account kon overnemen en tien jaar aan werk vernietigde.

"Boogie2988", zoals hij zichzelf noemt, maakt internetcontent en heeft een YouTube-kanaal met meer dan 3,5 miljoen volgers. Een aantal maanden geleden slaagde een aanvaller er in om zijn e-mailadres en andere social media-accounts over te nemen. De aanvaller verwijderde het YouTube-kanaal en leegde zijn PayPal-account. Daarnaast werkte zijn telefoon niet meer. Het toestel gaf aan niet meer met een telefoonnummer verbonden te zijn.

Naar eigen zeggen was hij altijd securitybewust. Zo wijzigde de contentmaker regelmatig zijn wachtwoorden en waren die altijd minimaal 16 karakters lang. Ook hergebruikte hij geen wachtwoorden en had tweefactorauthenticatie ingeschakeld. "Niet alleen voorkwamen deze maatregelen niet dat ik gehackt werd, het gebruik van tweefactorauthenticatie bleek mijn grootste zwakte te zijn", aldus Boogie2988 in een analyse van de hack.

De aanvaller had zijn telecomaanbieder Verizon gebeld en zich als de contentmaker voorgedaan. Hoewel de aanvaller niet over het social security nummer of de speciale code van zijn slachtoffer beschikte, die Boogie2988 als extra beveiliging had ingeschakeld, gaf de medewerker van Verizon hem toch toegang. De aanvaller liet de medewerker het telefoonnummer in dat van hem veranderen. Daarmee kon de aanvaller vervolgens het wachtwoord van het e-mailadres veranderen, wat hem toegang tot alle andere accounts van de contentmaker gaf.

Boogie2988 gebruikte namelijk hetzelfde e-mailadres ook voor zijn YouTube-kanaal en PayPal. Als eerste veranderde de aanvaller het wachtwoord van alle accounts. Die vond ook het tweede en derde e-mailadres van zijn slachtoffer en wijzigde ook daarvan de wachtwoorden. De gehackte social media-accounts gebruikte de aanvaller om links naar goksites te verspreiden. Vervolgens besloot de aanvaller alle accounts te verwijderen. "In minder dan een uur was deze jonge hacker erin geslaagd om kapot te maken wat me meer dan 10 jaar had gekost om op te bouwen", aldus de verbouwereerde contentmaker.

Met behulp van een Google-medewerker slaagde hij erin om zijn YouTube-kanaal terug te krijgen. De Google-medewerker waarschuwde ook dat de contentmaker hetzelfde e-mailadres als het recovery-adres voor alle accounts had gebruikt en dit een openbaar e-mailadres was. Ondanks de eerdere kritiek adviseert Boogie2988 toch het gebruik van tweefactorauthenticatie. "Maar gebruik een telefoonnummer dat je aan niemand geeft, of gebruik een app die alleen op je telefoon staat, zoals Google Authenticator." Als oplossing voor tweefactorauthenticatie maakt de contentmaker nu gebruik van een prepaidtelefoon waar zijn naam niet aan gekoppeld is.

Reacties (17)
27-10-2016, 14:31 door Anoniem
Is vaker voorgekomen in de VS de laatste tijd. Meen dat Linus van Linus Tech Tips hetzelfde is overkomen.
27-10-2016, 14:35 door Anoniem
Als oplossing voor tweefactorauthenticatie maakt de contentmaker nu gebruik van een prepaidtelefoon waar zijn naam niet aan gekoppeld is.
......En als Van der Steur het voor het zeggen krijgt is een anonieme SIM straks verboden, want..terrorisme.
27-10-2016, 14:53 door Anoniem
En hoe is het met Verizon afgelopen in deze zaak?
27-10-2016, 15:04 door Illnl
Ik zie dat we mijn reply weer eens niet posten als deze anoniem is?

Dit is geen hacking, dit is social engineering.
Telegraag koppen tijd mensen?
27-10-2016, 15:05 door Anoniem
Zien die security adviseurs nou zelf niet dat ze totaal van het padje zijn?
Je mag niet alleen je wachtwoorden niet meer hergebruiken, maar ook niet meer je e-mail adressen, je telefoonnummer,
wat je maar verzint. Maak voor ieder account een apart e-mail adres aan, neem een apart nummer voor je 2-factor
authenticatie....

Dit slaat toch gewoon helemaal nergens op! Verzin een goed systeem voor authenticatie liefst gecentreerd rond
een officieel ID bewijs wat je niet zomaar kunt overnemen. Zoals het nu gaat is het gewoon niet meer werkbaar.
27-10-2016, 15:29 door Anoniem
Je moet 2 factor ook niet koppelen aan een telefoon nummer maar aan een toestel en daar een pincode op.
Zoals de authy app.
27-10-2016, 15:35 door Anoniem
Niet de two-factor authenticatie is hier de zwakte. Verizon en in het bijzonder de mensen die daar werken blijken de zwakte te zijn. Ik zou hier toch wel wat meer duiding in verwachten door de redactie van security.nl.

"Boogie2988" zou Verizon aansprakelijk moeten stellen.
27-10-2016, 16:05 door Anoniem
Eigenlijk wel stom van deze man.
regel 1: deel geen e-mail adressen met belangrijke services
regel 2: koppen 2 factor niet aan je nummer
regel 3: social engineering werkt nog steeds, dat voorkomt geen enkele 2-factor authenticatie.
27-10-2016, 16:08 door Anoniem
Door Anoniem:
Als oplossing voor tweefactorauthenticatie maakt de contentmaker nu gebruik van een prepaidtelefoon waar zijn naam niet aan gekoppeld is.
......En als Van der Steur het voor het zeggen krijgt is een anonieme SIM straks verboden, want..terrorisme.

Dat is allang niet meer mogelijk in veel landen rondom Nederland, kwestie van tijd en het kan hier ook niet meer zonder legitimatie.
27-10-2016, 16:38 door Anoniem
Als je met alleen je telefoon overal toegang tot krijgt dan is het geen echte 2-staps verificatie he. Dan is het simpelweg 1-staps verificatie waarbij enkel de telefoon nodig is.
27-10-2016, 16:43 door Anoniem
Door Anoniem: Niet de two-factor authenticatie is hier de zwakte. Verizon en in het bijzonder de mensen die daar werken blijken de zwakte te zijn. Ik zou hier toch wel wat meer duiding in verwachten door de redactie van security.nl.

"Boogie2988" zou Verizon aansprakelijk moeten stellen.

Het is inderdaad erg jammer dat hier aan voorbij word gegaan. Het probleem ligt in dit geval heel duidelijk bij Verizon.
Dat gezegd hebbende is het natuurlijk bekend dat bij iedere beveiliging de mens meestal de zwakste schakel is dus daar kan je van te voren al rekening mee houden.
27-10-2016, 20:27 door Anoniem
Nee, de fout zat bij het enkele feit dat de hacker wist welke telco deze YouTuber had. Daardoor was social enginering mogelijk. Je moet ook niet alles bekend maken.

Een geheim nummer doet wonderen.
27-10-2016, 20:32 door Anoniem
Het lijkt mij logischer om bij 2-factor-authenticatie een apart toestel met een ander (geheim) nummer te gebruiken dat je verder aan niemand meedeelt (dus ook niet gebruiken bij gewoon telefoonverkeer).
27-10-2016, 21:31 door Anoniem
Door Anoniem: Niet de two-factor authenticatie is hier de zwakte. Verizon en in het bijzonder de mensen die daar werken blijken de zwakte te zijn. Ik zou hier toch wel wat meer duiding in verwachten door de redactie van security.nl.

"Boogie2988" zou Verizon aansprakelijk moeten stellen.
Volledig akkoord. Dit heeft niks met 2FA te maken. Verizon een process aanspannen ja !! Dit is gewoon social hacking van de domste soort...Verizon moet zelf eerst het social security number vragen of het antwoord op meerdere beveiligingsvragen die de gebruiker zelf heeft ingesteld, vooraleer ook maar iets te veranderen aan paswoorden !!
28-10-2016, 09:28 door Anoniem
ik vindt het vreemd dat Google altijd een telefoonnummer wilt hebben voor de 2 factor authenticatie je kan dit niet aanzetten zonder een telefoonnummer door te geven.
Bij andere aanbieders kan je gewoon een OTP app gebruiken zonder gekoppeld te zijn aan een telefoonnummer
30-10-2016, 13:50 door Anoniem
Door Anoniem:
Door Anoniem: Niet de two-factor authenticatie is hier de zwakte. Verizon en in het bijzonder de mensen die daar werken blijken de zwakte te zijn. Ik zou hier toch wel wat meer duiding in verwachten door de redactie van security.nl.

"Boogie2988" zou Verizon aansprakelijk moeten stellen.

Het is inderdaad erg jammer dat hier aan voorbij word gegaan. Het probleem ligt in dit geval heel duidelijk bij Verizon.
Dat gezegd hebbende is het natuurlijk bekend dat bij iedere beveiliging de mens meestal de zwakste schakel is dus daar kan je van te voren al rekening mee houden.

Dat rekening houden is een beetje lastig, als je een dienst afneemt zit er altijd ergens iemand die in staat is om jouw spullen aan een ander te geven, en dat blijkbaar soms ook doet. Het is natuurlijk heel klantgericht als de eerstelijn direct zaken voor de klant mag wijzigen, maar dan moet je ze wel verdraaid goed opvoeden tegen social engineering. Want dat bijt klantgerichtheid, dus daar zul je je mensen in moeten helpen.

Dat de mens de zwakste schakel is, vind ik nog altijd het stompzinnigste gezegde in beveiligingsland. Ja, zonder mensen is het pas 100% veilig. Maar helaas wordt ICT gemaakt door mensen voor mensen. Dus zonder mensen wordt het allemaal ook nogal zinloos.

Doet denken aan het vroegere beveiligingsniveau A0, waarbij je een computer in een metersdikke laag beton giet, Geheel veilig en compleet nutteloos.

Ik vraag me wel eens af of elke smartass die dit cliché bezigt, zichzelf ook overal voorstelt met "hallo, ik ben de zwakste schakel".
01-11-2016, 08:53 door Anoniem
oplossing is even simpel als het probleem: telefoonnummer verwijderen nadat je 2FA hebt ingesteld.
En als je behoefte hebt om je privacy te beschermen, bij de registratie niet een telefoonnummer gebruiken dat naar jou te herleiden is, bv ergens bij een bedrijf of een ver familielid oid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.