Kyle Milliken, hacker 30enne dell’Arkansas all’età di 17 anni usava il phishing sugli account Myspace delle celebrità e li utilizzava per inviare spam su Internet. Dopo aver guadagnato $ 5.000 a settimana, si è evoluto e ha cominciato ad hackerare milioni di account di posta elettronica, forum e social media. Alcuni dei suoi maggiori furti includono Disqus (17,5 milioni), Kickstarter (5,2 milioni) e Imgur (1,7 milioni). Afferma anche di aver colpito Twitter e Pinterest tra molti altri.
Milliken usava elenchi di credenziali di accesso per colpire automaticamente gli account, basandosi sul fatto che molte persone riutilizzano le password su più servizi online. Una volta ottenuto l’accesso a un account, poteva utilizzarlo per inviare messaggi di spam a tutti i suoi contatti.
Alla fine della sua carriera, aveva 168 milioni di credenziali di accesso e aveva guadagnato circa 1,4 milioni di dollari. In seguito ha collaborato con l’FBI ed è stato condannato a una pena detentiva di 17 mesi in un campo di lavoro federale.
E’ stata proprio la scarsa sicurezza di Milliken che lo ha rovinato. Ha violato i suoi obiettivi tramite un server ospitato che ha noleggiato sotto un alias e vi ha sempre avuto accesso tramite una VPN per proteggere il suo IP. Quando ha hackerato Disqus, ha dimenticato di usare la VPN e nel 2014 l’FBI l’ha catturato.
È stato rilasciato la scorsa settimana e ha dichiarato a ZDNet in un’intervista che la cosa che lo ha aiutato maggiormente è stato il riutilizzo della password:
Oggi il riutilizzo delle credenziali di accesso secondo me è la falla di sicurezza più diffusa.
I consigli per gli utenti dei servizi online rimangono gli stessi. Innanzitutto, utilizzare un gestore di password che genera e memorizza automaticamente password complesse per ciascun account creato. In secondo luogo, ove possibile, attivare l’autenticazione a più fattori (MFA) per i siti visitati. Ciò potrebbe comportare la verifica tramite SMS o, ancora più sicuro, un’app mobile come Google Authenticator. Milliken ha detto a ZDNet di aver “odiato” questa misura di sicurezza, aggiungendo:
Onestamente penso che i tre principali provider di posta elettronica (Microsoft, Yahoo, Google) abbiano aggiunto questa funzione per me. Stavo accedendo a milioni di account e-mail e stavo davvero causando il caos con il mio spamming.
Perché Milliken sta dando questo consiglio nelle interviste ora? Afferma di essersi riabilitato e di voler iniziare una nuova carriera come white hat hacker.
Milliken non è né il primo né l’ultimo ex black hat a cercare lavoro nel campo della sicurezza informatica. Altri hacker si sono riciclati come white hat, come ad esempio Hector Monsegur (Sabu), co-fondatore del gruppo di hacker LulzSec, che ha collaborato con l’FBI dopo il suo arresto e ora lavora per Rhino Security Labs.
Un altro co-fondatore di LulzSec, Mustafa Al-Bassam, ha iniziato a lavorare per la società di pagamenti e sicurezza informatica Secure Trading ed è ora uno studente di dottorato alla UCL. Michael Calce, alias Mafiaboy, ha collaborato con HP per realizzare un documentario sulla sicurezza informatica dopo essere uscito di prigione, mentre Kevin Mitnick, arrestato nel 1995 dopo una lunga carriera di hacker, è ora “Chief hacking officer” di KnowBe4.