Regelmatig adviseren experts en internetbedrijven om tweefactorauthenticatie in te schakelen omdat dit een extra beveiligingslaag is, maar een securitybewuste YouTuber zag hoe de maatregel er uiteindelijk voor zorgde dat een aanvaller zijn account kon overnemen en tien jaar aan werk vernietigde.
"Boogie2988", zoals hij zichzelf noemt, maakt internetcontent en heeft een YouTube-kanaal met meer dan 3,5 miljoen volgers. Een aantal maanden geleden slaagde een aanvaller er in om zijn e-mailadres en andere social media-accounts over te nemen. De aanvaller verwijderde het YouTube-kanaal en leegde zijn PayPal-account. Daarnaast werkte zijn telefoon niet meer. Het toestel gaf aan niet meer met een telefoonnummer verbonden te zijn.
Naar eigen zeggen was hij altijd securitybewust. Zo wijzigde de contentmaker regelmatig zijn wachtwoorden en waren die altijd minimaal 16 karakters lang. Ook hergebruikte hij geen wachtwoorden en had tweefactorauthenticatie ingeschakeld. "Niet alleen voorkwamen deze maatregelen niet dat ik gehackt werd, het gebruik van tweefactorauthenticatie bleek mijn grootste zwakte te zijn", aldus Boogie2988 in een analyse van de hack.
De aanvaller had zijn telecomaanbieder Verizon gebeld en zich als de contentmaker voorgedaan. Hoewel de aanvaller niet over het social security nummer of de speciale code van zijn slachtoffer beschikte, die Boogie2988 als extra beveiliging had ingeschakeld, gaf de medewerker van Verizon hem toch toegang. De aanvaller liet de medewerker het telefoonnummer in dat van hem veranderen. Daarmee kon de aanvaller vervolgens het wachtwoord van het e-mailadres veranderen, wat hem toegang tot alle andere accounts van de contentmaker gaf.
Boogie2988 gebruikte namelijk hetzelfde e-mailadres ook voor zijn YouTube-kanaal en PayPal. Als eerste veranderde de aanvaller het wachtwoord van alle accounts. Die vond ook het tweede en derde e-mailadres van zijn slachtoffer en wijzigde ook daarvan de wachtwoorden. De gehackte social media-accounts gebruikte de aanvaller om links naar goksites te verspreiden. Vervolgens besloot de aanvaller alle accounts te verwijderen. "In minder dan een uur was deze jonge hacker erin geslaagd om kapot te maken wat me meer dan 10 jaar had gekost om op te bouwen", aldus de verbouwereerde contentmaker.
Met behulp van een Google-medewerker slaagde hij erin om zijn YouTube-kanaal terug te krijgen. De Google-medewerker waarschuwde ook dat de contentmaker hetzelfde e-mailadres als het recovery-adres voor alle accounts had gebruikt en dit een openbaar e-mailadres was. Ondanks de eerdere kritiek adviseert Boogie2988 toch het gebruik van tweefactorauthenticatie. "Maar gebruik een telefoonnummer dat je aan niemand geeft, of gebruik een app die alleen op je telefoon staat, zoals Google Authenticator." Als oplossing voor tweefactorauthenticatie maakt de contentmaker nu gebruik van een prepaidtelefoon waar zijn naam niet aan gekoppeld is.
Deze posting is gelocked. Reageren is niet meer mogelijk.