Hacker kraakt Google-account ondanks twee-factor authentificatie

De beveiliging van een systeem waterdicht krijgen is zeer lastig. Dit bewijst een incident waarbij een Google-account van een ontwikkelaar werd gehackt. De ontwikkelaar had twee-factor authentificatie van Google geactiveerd en kon dus alleen inloggen op zijn account nadat hij naast zijn inloggegevens ook een unieke beveiligingscode van Google had ingevoerd. Desondanks is een hacker erin geslaagd het account te hacken.

De ontwikkelaar Grant Blakeman ontdekte afgelopen weekend dat zijn Google-account was gehackt. De aanvaller lijkt gebruik te hebben gemaakt van social engineering, een techniek waarbij hackers medewerkers van een bedrijf om de tuin proberen te leiden door zich voor te doen als een ander persoon. Het telefoonnummer van Blakeman blijkt namelijk te zijn geforward naar een ander telefoonnummer, dat Blakeman zelf niet stelt te kennen. Deze optie kan in principe alleen door een telecomprovider worden geactiveerd.

SMS-berichten door laten sturen
Het lijkt er dan ook op dat de aanvaller contact heeft opgenomen met de telecomprovider van Blakeman en deze heeft overtuigd dat hij (de aanvaller) Blakeman was. De hacker heeft vermoedelijke de telecomprovider zo ver gekregen het telecomverkeer, inclusief SMS-berichten, door te laten sturen naar een ander telefoonnummer. Hierdoor werd ook het SMS'je met de beveiligingscode die nodig was om in te loggen op het Google-account van Blakeman doorgestuurd naar het onbekende nummer.

De telecomprovider ontkent overigens dit verhaal en stelt dat alleen Blakeman zelf in staat is wijzigingen aan te brengen aan zijn telecomaccount. Wel belooft de telecomprovider Blakeman niet verantwoordelijk te houden voor eventuele kosten die door het incident zijn gemaakt. Officieel is dan ook onduidelijk hoe de hacker de beveiligingscode van Google in handen heeft gekregen.

'Gebruik twee-factor authentificatie'
Blakeman adviseert gebruikers ondanks de hack de twee-factor authentificatie niet af te schrijven en deze desondanks te activeren. De beveiligingsmaatregel zou namelijk in ieder geval een extra drempel zijn die de meeste hackers ervan zal weerhouden een account te hacken. Wel zouden gebruikers zich bewust moeten zijn van de beperkingen van twee-factor authentificatie en zich moeten realiseren dat ook deze vorm van beveiliging geen garantie is voor digitale veiligheid.