6.5. Azonosítási folyamat kihasználása – Account kizárási támadás

6.5.1. Leírás

Egy account kizárási támadáskor a behatoló megpróbálja kizárni az összes felhasználói accountot, általában oly módon, hogy több alkalommal hibás bejelentkezést produkál, mint amennyi a bejelentkeztető rendszer tűréshatára. Ha például egy felhasználó három hibás bejelentkezési próbálkozással zárja ki az account-ját a rendszerből, akkor a támadó nemes egyszerűséggel úgy zárja ki az account-jaikat, hogy háromszor hibás hibás bejelentkezést produkál. Ez a fajta támadás nagymértékű szolgáltatás-megtagadási támadást eredményezhet, ha minden felhasználói account ki van zárva, főként akkor, ha az accountok visszaállítása komoly mennyiségű munkát igényel.

6.5.2. Például: eBay támadás

Az account kizárási támadásokat arra használják, hogy kihasználják azokat a bejelentkeztető rendszereket, amik érzékenyek a szolgáltatás-megtagadásra. Az egyik híres ilyesfajta támadás az eBay-t érte. Az eBay korábban megjelenítette a legmagasabb licitet tartó felhasználó azonosítóját (azóta ezt már megváltoztatták). Az árverés utolsó perceiben valaki megpróbált belépni a legmagasabb licitet tartó felhasználó nevében három alkalommal. A három sikertelen próbálkozás után az eBay jelszó védelme életbe lépett és kizárta a legmagasabb licitet tartó hozzáférését egy időre. A támadó így megtehette a saját ajánlatát, az áldozat pedig nem tudott fölémenni az ajánlatnak, mert éppen ki volt zárva a rendszerből. Ezúton a támadó megnyerte az árverést.