Neviem hacknúť niekoho Facebook – prečo vám etický hacker nepomôže

„Ahoj, potrebujem službu etického hackera, manžel ma podvádza / uniesli mi dieťa / niekto sa mi vyhráža. Vedel by si hacknúť niekoho Facebook alebo mobil?“

Čudovali by ste sa, ale takéto správy mi cez rôzne kanály chodia niekoľkokrát do mesiaca. Odpoveď je vždy rovnaká – neviem vám pomôcť. A to aj napriek tomu, že niektoré dôvody sú legitímne, ak niekomu unesú dieťa, tak by som samozrejme rád pomohol, ak by som mal ako.

Ako funguje hacking

V prvom rade – hackovanie ako ho prevádzkuje etický hacker / pentester – je takmer výlučne business to business záležitosť. Klientami etických hackerov sú firmy, ktoré majú aplikáciu, ideálne predtým ako sa spustí pre verejnosť. A túto aplikáciu hackneme – predtým ako to môže urobiť ktokoľvek iný – aby sme ju zabezpečili. To v praxi znamená, že aplikácie, ktoré vidíte vy (a tie ktoré sme hackli) sú už bezpečné. Pretože keď aplikáciu nabúrame, je to preto, aby jej tvorca opravil chyby a aby sa už nabúrať zvonku nedala.

Okrem toho veľa hlavne veľkých firiem poskytuje za nájdenie zraniteľnosti odmenu – vo výške kľudne desiatok tisíc až miliónov dolárov. Meta (Facebook, Instagram, WhatsApp) v čase písania tohto článku (október 2025) vyplatila za rok 2025 4.4 milióna dolárov na týchto odmenách a historicky dokopy 25.5 milióna dolárov. Apple ponúka za zraniteľnosť, ktorá vedie k nabúraniu aktualizovaného iPhone bez kliknutia dva milióny dolárov. Google, Microsoft a Intel za vážne zraniteľnosti ponúkajú aspoň štvrť milióna dolárov.

To znamená dve veci:

  1. Tieto služby samotné sú fakt dobre zabezpečené. Facebook sa „nedá“ hacknúť za jedno poobedie.
  2. Ak by som vedel hacknúť Facebook, vypýtam si priamo od Facebooku tie stovky tisíc až milióny dolárov, ktoré ponúkajú. Normálne ich vyfaktúrujem, mám legálny príjem a môžem si kúpiť dom. Ak by som namiesto toho pomohol zúfalému užívateľovi s neverou, hrozila by mi basa. A predpokladám, že nikto z ľudí, ktorí majú túto požiadavku nepočítajú s platbou ani len v desiatkach, nie to ešte stovkách tisíc dolárov

Ale veď mne „hackli“ účet

Samozrejme, hacky účtov sa dejú stále. Ale je to hack účtu, cez chybu užívateľa, nie „hack Facebooku“. Ľudia robia hlúpe chyby. Niekto im pošle odkaz, po kliknutí to vyzerá ako stránka Facebooku, zadajú svoje meno, heslo, kľudne aj druhý faktor a účet je fuč. Tu sa dostávam k druhej najčastejšej požiadavke – „hackli mi účet, hackni ho späť“. Bohužiaľ, toto tiež nezafunguje, pomôcť vám môže podpora danej služby. Ale vďaka tomu, že hodnota vás ako užívateľa je pre väčšinu služieb v cene pár dolárov ročne (na reklamách, ktoré uvidíte), väčšinou sa vám podpora ani neozve a neostáva vám nič iné, len si založiť nový účet. Výplata technickej podpory, ktorá s vami bude riešiť hacknutie vášho účtu je proste drahšia ako vaša hodnota pre ich biznis. Hlavne preto, že ten problém vyriešite aj sami a pravdepodobne sa vrátite – s iným účtom.

Ak sa teda hacky účtov dejú stále, neviem hacknúť účet? Tri dôvody, prečo to neurobím:

  1. Je to neetické a veľmi pravdepodobne nelegálne. Volá sa to etický hacker, čo by mohlo napovedať, že sa nevenuje nabúravaniu sa cudzích účtov.
  2. To, že sa to deje plošne neznamená, že to zafunguje v konkrétnom prípade. Množstvo ľudí sa nachytá a klikne na linku a zadá heslo. Ale to neznamená, že to urobí zrovna majiteľ toho účtu, ktorý chcete hacknúť – pravdepodobne neurobí. Úspešnosť je dosť nízka. Pri tzv. „spray and pray“ taktike 0.01% – 0.5%. Pri cielených útokoch zdroje uvádzajú medzi 1%, až 20% pri najlepšom cielení, kde už ale treba robiť aj telefonický follow-up. Čiže v praxi to znamená, že sa to veľmi pravdepodobne nepodarí. Okrem toho, získať účet je len časť úspechu, pri end-to-end šifrovanej komunikácii hacknutím účtu nemusíte napríklad získať históriu komunikácie. Okrem toho takýto hack bude prakticky okamžite odhalený.
  3. Ďalšia možnosť je hacknúť koncové zariadenie alebo sa dostať do účtu nejak inak ako získaním prihlasovacích údajov. Počítajte dni až týždne práce. Manday rate freelancerov je niekde medzi €700-€3000. Teda človekodni práce. Rátajme bežný rate €1500 za deň a 10 dní práce, teda odpoveď na „manžel mi je neverný“ vás v pohode môže stáť €15000 – a aj to ju nikto negarantuje, po 10 dňoch môžete dostať úplne v pohode odpoveď „ups, nepodarilo sa“ – a peniaze zaplatiť musíte (väčšinou dopredu). Preto, že väčšina ľudí chápe, že odpoveď na otázku „je mi manžel neverný“ nestojí za €15 tisíc, väčšina hackerov tieto služby ani neponúka. Cena je však založená na trhu a náklade obetovanej príležitosti. Ak bude hacker hackovať vášho manžela, nehackuje firemného zákazníka, ktorý túto sumu v pohode zaplatí.

Tieto tri dôvody platia aspoň u mňa súčasne. Okrem toho som ale vyšiel z cviku, penetračnému testovaniu a etickému hackingu sa nevenujem, koncové zariadenia som v podstate nikdy nehackoval, venoval som sa bezpečnosti serverových systémov. Čiže okrem toho, že by ma takéto zadanie vôbec nebavilo, bol by som pravdepodobne ešte pomalší, lebo by som to robil reálne prvýkrát (okrem základnej phishingovej kampane, to sme samozrejme v rámci testovania firiem robili bežne).

Preto odpoveď na otázku, či vás podvádza manžel, skúste zistiť tak, že sa opýtate. Ak vás niekto obťažuje, nahláste ho a zablokujte ho. Prinajhoršom si zmeňte kontaktné údaje. Nie je to ideálne riešenie, ale zafunguje lepšie ako stopovanie a hackovanie. A je výrazne lacnejšie. Občasná zmena telefónneho čísla je dobrá hygiena, odstráni zo života viacero divných ľudí. Mne sa napríklad osvedčilo telefónne číslo nepoužívať vôbec. Dovolať sa mi dá len cez šifrované spojenia a cez dáta, ak to niekto skúsi telefónom, má smolu.

Únosy detí jedným z rodičov sú niečo, kde by som bol rád, keby táto kalkulácia vychádzala inak a dalo by sa pomôcť. V tomto prípade ale tiež zafunguje lepšie revokovanie pasu, medzinárodná spolupráca a vyšetrovanie, kľudne aj s pomocou súkromných detektívov. Nezažil som jediný prípad, kedy by to zafungovalo cez hacking.

Záver

Filmoví hackeri, ktorí zlomia šifru za tri minúty s pištoľou pri hlave, prípadne hacknú mestské semafóry zo sedadla spolujazda ako z filmu Hackers, sú bohužiaľ fiktívne postavy. Hackovanie je náročná práca, trvajúca väčšinou dni, zvlášť ak vám nie je jedno koho hacknete. Plošné hacky sú samozrejme možné a bežné, preto sa phishingové kampane zameriavajú na milióny ľudí, kde aj 0.01% úspešnosť znamená zisk.

Profesionálni etickí hackeri sa venujú bezpečnosti firemných systémov. V IT máme vtip, keď databázovému architektovi niekto povie „ty robíš s tými počítačmi, vedel by si mi opraviť tlačiareň?“. Ak to prenesieme do inej domény, je to ako poprosiť rybára, či by mi mohol podojiť kravu, veď robí so zvieratami.

„Blbé rady“ na záver: Najlepšia je prevencia. Nenechajte sa hacknúť. Silné heslá. Dávajte si veľký pozor, kam zadávate prihlasovacie údaje. Ak si nie ste istí, zavrite okno prehliadača a radšej nerobte nič. Útočníci často vyvolávajú pocit, že niečo treba urobiť hneď, lebo sa niečo zlé stane – zrušia vám účet, presunú sa peniaze alebo podobne. Takmer nikdy to tak nie je. Ak vám niekto volá, zložte a zavolajte na oficiálnu infolinku – číslo si nájdite na webe vy. Naletieť je ľahké – aj pre profíkov. Nerobte zbrklé rozhodnutia a dávajte si pozor. Etickí hackeri vám veľmi pravdepodobne nepomôžu. Veľmi pravdepodobne tým myslím na 99.99%.

Ak sa otázka týka kryptomien, odporúčam aj článok Ako sa nestať obeťou crypto podvodu ktorý je aj v mojej knižke Kniha Kryptomeny – vyhackuj si lepší život.

Hacking je super zábava, dá sa použiť na zlepšenie života, ale to neznamená, že vám hacker pomôže v situáciách, v ktorých si myslíte.

P.S.: Etickému hackingu v oblasti informačných systémov sa už nevenujem, prešiel som na iné veci. Takže presviedčať ma o tom, že zrovna vám viem asi pomôcť je zbytočné. Vyšiel som z cviku.