Zuchwała kradzież z pakietu biurowego Google. Haker przejął 120 000 USD
Haker wykorzystał arkusz kalkulacyjny Google do przejęcia kwoty o równowartości 120 000 dolarów. Ofiarą padła społeczność PeopleDAO, która posługuje się Google Docs do zlecania wypłat członkom swojej organizacji. Jak to możliwe, że tak duża kwota została przejęta za pomocą kilku kliknięć?
12.03.2023 | aktual.: 12.03.2023 20:40
Informacje o kradzieży pochodzą od ofiary. Organizacja PeopleDAO, która straciła olbrzymią kwotę, opublikowała swoją historię na Twitterze. Wynika z niej, że haker uczciwością nie grzeszy, ale ofiara nie zrobiła wiele, żeby się przed nim ustrzec. Do tego stopnia, że trudno mówić o włamaniu.
Jak doszło do kradzieży 120 000 dolarów przez Google Docs?
PeopleDAO publikuje co miesiąc formularz z listą wypłat dla członków swojej społeczności. Wykorzystuje do tego arkusz kalkulacyjny Google, do którego link jest umieszczany na publicznym kanale Discord. Haker użył właśnie tej drogi i zdobył dostęp do edycji dokumentu. To wystarczyło, żeby zmusić ofiarę do wypłaty ogromnej kwoty.
Dalsza część artykułu pod materiałem wideo
Krytycznym dla poszkodowanego okazało się nieostrożne zarządzanie onlineowym dokumentem. Link kierujący do Google Docs nie wymagał hasła. Na dodatek arkusz kalkulacyjny nie został nawet zabezpieczony przed edycją. Otworzenie go wystarczyło hakerowi, żeby móc dopisać swoje dane do listy wypłat. W ten sposób zamówił 76 ETH (równowartość 120 000 dolarów), które sumiennie mu dostarczono.
Według relacji PeopleDAO dokument został sprawdzony przed zleceniem wypłaty. Przeoczono nieprawidłowość tylko dlatego, że wiersz z danymi hakera został ukryty w arkuszu kalkulacyjnym.
Widoczny stał się dopiero po eksporcie do pliku CSV, którym posługiwała się osoba wykonująca wypłaty.
Niezgodności na tym etapie już nikt nie sprawdził, a środki zostały przesłane. Kiedy nieprawidłowość wyszła na jaw, po hakerze ślad zaginął.
Dlaczego haker może pozostać nieuchwytny?
W internecie łatwo o anonimowość, ale drogę przepływu pieniędzy można śledzić. W tym przypadku nie będzie to jednak proste, ponieważ chodzi o kryptowaluty. Udało się ustalić, że środki wypłacone przez PeopleDAO, zostały zdeponowane na dwóch giełdach: HitBTC oraz Binance.
Hakerowi wystarczy jednak rozsądne zarządzanie swoim portfelem krypotowalutowym, żeby pozostać nieuchwytnym. PeopeDAO zgłosiło sprawę FBI, ale jest skłonne się z tego wycofać, jeśli haker zwróci przejęte środki. W takiej sytuacji spryciarz może też liczyć na gratyfikację w wysokości 10% skradzionej kwoty. Na reakcję ma czas do poniedziałku 13. marca.
Katarzyna Rutkowska, dziennikarka dobreprogramy.pl