אפילו אם בחרתם סיסמה חזקה לכל החשבונות שלכם - זה לא אומר שהם מאובטחים. זה מה שניתן ללמוד מסיכום משפטו של ההאקר ג'ונת'ן פאוול מאריזונה, שנידון ביום חמישי האחרון על ידי השופטת אליסון ניית'ן מניו-יורק ל-6 חודשי מאסר, שנתיים באחריות קצין מבחן ותשלום פיצויים בסך 278,855 דולר.
פאוול נעצר בנובמבר 2016, לאחר שאוניברסיטת פייס בניו-יורק, שבה עבד, גילתה כי הוא השתמש במנגנון איפוס הסיסמאות לחשבונות מייל של האוניברסיטה אלפי פעמים. לפי ה-FBI, במשך שנה נכנס פאוול לדף איפוס הסיסמה לחשבונות מייל של האוניבסריטה 18,640 פעמים, ביצע 16,600 בקשות לאיפוס סיסמאות ביותר מ-2,000 כתובות מייל והצליח לשנות סיסמאות של 1,035 מהם. חקירה נוספת גילתה כי פרץ לחשבונות מייל נוספים באוניברסיטאות ומכללות בפנסילבניה, אריזונה, פלורידה, אוהיו וטקסס.
פאוול פעל בשיטת הנדסה חברתית מוכרת ועתיקה, ולא היה צריך להשתמש בכלי פריצה מתוחכמים. הוא ניצל את העובדה שמנגנון איפוס הסיסמאות של אוניבסיטאות ומכללות עובד עדיין כמו לפני עשור: כאשר מבקשים לאפס את הסיסמה לחשבון מייל, כל מה שצריך הוא להקליד את הכתובת שאת הסיסמה שלה מנסים לאפס ולענות לשתי שאלות אימות זהות מתוך רשימה של שאלות כגון "מה היה הסמל של בית הספר היסודי שלך?" או "מה היה השם של חיית המחמד הראשונה שלך?". בעזרת חיפוש ברשת הצליח הנאשם להגיע לכל התשובות הללו.
לאחר שפרץ לחשבונות המייל הוא חיפש בהם תמונות חושפניות של הסטודנטיות, ואף ניצל את שליטתו על כתובות המייל כדי לאפס את הסיסמאות של הסטודניות לשירותים אחרים כמו גוגל דרייב ואייקלאוד, אליהם מגובות התמונות ממכשירי אנדרואיד ואייפון בהתאמה, ולחפש תמונות אינטימיות של הצעירות.
הדרך הכי טובה להימנע מפריצות בשיטה הפשוטה של פאוול, שלא מחייבת שום ידע טכני, היא לדאוג שהחשבונות שלכם לא תלויים בחוליה חלשה כמו שאלות הזדהות שהתשובות אליהן מופיעות במאגרי מידע זמינים. כך, למשל, מומלץ להפעיל אימות דו-שלבי לחשבונות - ששולח הודעת סמס למספר הטלפון שלכם בכל פעם שמישהו מנסה להיכנס לחשבון, עם סיסמה חד-פעמית שרק הקלדה שלה אחרי הסיסמה הרגילה תפתח את החשבון.