Эко…


Очень интересная статья появилась сегодня. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес.

Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.

Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте.

Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.

Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.

Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт.

На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.

  1. #1 by langsamer on 07.08.2012 - 16:57

    В ссылке первая буква потеряна

  2. #2 by langsamer on 07.08.2012 - 16:57

    В ссылке первая буква потеряна

  3. #3 by langsamer on 07.08.2012 - 16:57

    В ссылке первая буква потеряна

  4. #4 by periskop on 07.08.2012 - 17:19

    Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки.

    Хинт: иметь запасной винт, раз в месяц бэкапировать. Полчаса затрат времени раз в м-ц, 100 баксов денех за 2-терабайтный винт. Не потеряет ничего, кроме менее чем месячной порции новых данных.

    • #5 by vld_sergio_jr on 07.08.2012 - 17:39

      это же яблводы = ай**** не ломаются, зачем бэкапы?

      • #6 by lizyaev on 07.08.2012 - 18:10

        там тайммашина автоматом бекапы делает.
        а вот то, что человек все хранил в облаке… показательно.

      • #7 by iime on 07.08.2012 - 20:22

        Странные у вас представления.

    • #8 by avnik on 07.08.2012 - 18:04

      Ну блджад. в школе их не учили, что надо бэкапить на _removable_ носитель. И он должен быть removed в нормальном состоянии.

      • #9 by demonmsk on 08.08.2012 - 06:30

        ну типа в облаке и так бэкапят…

        • #10 by avnik on 08.08.2012 - 09:45

          ну в современных реалиях я бы делал два бекапа — один в облако, на случай локлаьного дизастера типа пожара или наводнения, а второй на removable носитель.

  5. #11 by periskop on 07.08.2012 - 17:19

    Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки.

    Хинт: иметь запасной винт, раз в месяц бэкапировать. Полчаса затрат времени раз в м-ц, 100 баксов денех за 2-терабайтный винт. Не потеряет ничего, кроме менее чем месячной порции новых данных.

    • #12 by vld_sergio_jr on 07.08.2012 - 17:39

      это же яблводы = ай**** не ломаются, зачем бэкапы?

      • #13 by lizyaev on 07.08.2012 - 18:10

        там тайммашина автоматом бекапы делает.
        а вот то, что человек все хранил в облаке… показательно.

      • #14 by iime on 07.08.2012 - 20:22

        Странные у вас представления.

    • #15 by avnik on 07.08.2012 - 18:04

      Ну блджад. в школе их не учили, что надо бэкапить на _removable_ носитель. И он должен быть removed в нормальном состоянии.

      • #16 by demonmsk on 08.08.2012 - 06:30

        ну типа в облаке и так бэкапят…

        • #17 by avnik on 08.08.2012 - 09:45

          ну в современных реалиях я бы делал два бекапа — один в облако, на случай локлаьного дизастера типа пожара или наводнения, а второй на removable носитель.

  6. #18 by periskop on 07.08.2012 - 17:19

    Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки.

    Хинт: иметь запасной винт, раз в месяц бэкапировать. Полчаса затрат времени раз в м-ц, 100 баксов денех за 2-терабайтный винт. Не потеряет ничего, кроме менее чем месячной порции новых данных.

    • #19 by vld_sergio_jr on 07.08.2012 - 17:39

      это же яблводы = ай**** не ломаются, зачем бэкапы?

      • #20 by lizyaev on 07.08.2012 - 18:10

        там тайммашина автоматом бекапы делает.
        а вот то, что человек все хранил в облаке… показательно.

      • #21 by iime on 07.08.2012 - 20:22

        Странные у вас представления.

    • #22 by avnik on 07.08.2012 - 18:04

      Ну блджад. в школе их не учили, что надо бэкапить на _removable_ носитель. И он должен быть removed в нормальном состоянии.

      • #23 by demonmsk on 08.08.2012 - 06:30

        ну типа в облаке и так бэкапят…

        • #24 by avnik on 08.08.2012 - 09:45

          ну в современных реалиях я бы делал два бекапа — один в облако, на случай локлаьного дизастера типа пожара или наводнения, а второй на removable носитель.

  7. #25 by hrun_morjov on 07.08.2012 - 17:53

    гы, яблочные сервисы рулятъ…

    • #26 by iime on 07.08.2012 - 20:26

      Рулят, конечно. Один такой случай на немеряное количество потеряных и украденных железок, с которых можно стереть документы и личную информацию.
      Кстати, Самсунг тоже предлагает такую возможность для телефонов и ноутов подороже)

      • #27 by hrun_morjov on 07.08.2012 - 23:39

        Мде, концлагерь «яблочко» имени дядя степы… Продолжайте там сидеть.

      • #29 by demonmsk on 08.08.2012 - 06:33

        эээ, слово «бэкап» не слышали?
        Шпиндель дивидюков скорее всего оставят даже обнося квартиру.
        Ну и внешний хард — он рулит.

  8. #31 by hrun_morjov on 07.08.2012 - 17:53

    гы, яблочные сервисы рулятъ…

    • #32 by iime on 07.08.2012 - 20:26

      Рулят, конечно. Один такой случай на немеряное количество потеряных и украденных железок, с которых можно стереть документы и личную информацию.
      Кстати, Самсунг тоже предлагает такую возможность для телефонов и ноутов подороже)

      • #33 by hrun_morjov on 07.08.2012 - 23:39

        Мде, концлагерь «яблочко» имени дядя степы… Продолжайте там сидеть.

      • #35 by demonmsk on 08.08.2012 - 06:33

        эээ, слово «бэкап» не слышали?
        Шпиндель дивидюков скорее всего оставят даже обнося квартиру.
        Ну и внешний хард — он рулит.

  9. #37 by hrun_morjov on 07.08.2012 - 17:53

    гы, яблочные сервисы рулятъ…

    • #38 by iime on 07.08.2012 - 20:26

      Рулят, конечно. Один такой случай на немеряное количество потеряных и украденных железок, с которых можно стереть документы и личную информацию.
      Кстати, Самсунг тоже предлагает такую возможность для телефонов и ноутов подороже)

      • #39 by hrun_morjov on 07.08.2012 - 23:39

        Мде, концлагерь «яблочко» имени дядя степы… Продолжайте там сидеть.

      • #41 by demonmsk on 08.08.2012 - 06:33

        эээ, слово «бэкап» не слышали?
        Шпиндель дивидюков скорее всего оставят даже обнося квартиру.
        Ну и внешний хард — он рулит.

  10. #43 by meta_nol on 07.08.2012 - 18:55

    Задумался о бэкапе. Винты всё-таки не вечны.

    Кстати, а что такое «яблоко» и «облачный сервис»?

    • #44 by kirostas on 08.08.2012 - 10:29

      да вы это серьезно?!

      • #45 by meta_nol on 09.08.2012 - 16:26

        Про облачный сервис тут ниже правильно написали — максимум перекинуть муть какую нибудь.

        При этом, нужно чтоб все устройства были «яблочными», так?
        При этом копии файлов уходят хз куда и скажем фото «я в египте на фоне пирамиды» может быть
        истолковано в нужную сторону . например «террорист Имярек проходил подготовку в Египте»
        Пожар, нашествие крыс и хакеров на «облачный центр» —
        и Ваши фото «мой кот и я» улетают в Валгаллу

        Поэтому — яблочки с облачками идут в ж.
        старая добрая винь и старые добрые винты для бэкапов

  11. #46 by meta_nol on 07.08.2012 - 18:55

    Задумался о бэкапе. Винты всё-таки не вечны.

    Кстати, а что такое «яблоко» и «облачный сервис»?

    • #47 by kirostas on 08.08.2012 - 10:29

      да вы это серьезно?!

      • #48 by meta_nol on 09.08.2012 - 16:26

        Про облачный сервис тут ниже правильно написали — максимум перекинуть муть какую нибудь.

        При этом, нужно чтоб все устройства были «яблочными», так?
        При этом копии файлов уходят хз куда и скажем фото «я в египте на фоне пирамиды» может быть
        истолковано в нужную сторону . например «террорист Имярек проходил подготовку в Египте»
        Пожар, нашествие крыс и хакеров на «облачный центр» —
        и Ваши фото «мой кот и я» улетают в Валгаллу

        Поэтому — яблочки с облачками идут в ж.
        старая добрая винь и старые добрые винты для бэкапов

  12. #49 by meta_nol on 07.08.2012 - 18:55

    Задумался о бэкапе. Винты всё-таки не вечны.

    Кстати, а что такое «яблоко» и «облачный сервис»?

    • #50 by kirostas on 08.08.2012 - 10:29

      да вы это серьезно?!

      • #51 by meta_nol on 09.08.2012 - 16:26

        Про облачный сервис тут ниже правильно написали — максимум перекинуть муть какую нибудь.

        При этом, нужно чтоб все устройства были «яблочными», так?
        При этом копии файлов уходят хз куда и скажем фото «я в египте на фоне пирамиды» может быть
        истолковано в нужную сторону . например «террорист Имярек проходил подготовку в Египте»
        Пожар, нашествие крыс и хакеров на «облачный центр» —
        и Ваши фото «мой кот и я» улетают в Валгаллу

        Поэтому — яблочки с облачками идут в ж.
        старая добрая винь и старые добрые винты для бэкапов

  13. #52 by real_brighter on 07.08.2012 - 19:04

    кто-нибудь может объяснить, в чем смысл облачных сервисов. Не для третьих дядей, которые имеют/могут иметь доступ ко всем твоим документам, а лично для тебя, любимого?

    Блин, только хард, только хардкор:)

    • #53 by zharkov on 07.08.2012 - 19:22

      Доступ к данным с разных устройств — дома, на работе, с телефона. И актуальность этих данных — сделал что-то с компьютера, изменения видны на телефоне.

    • #54 by john_scar on 07.08.2012 - 20:28

      Положил дома файлик, на работе прочитал. Набор программ каких небольших и т.п.

      • #55 by real_brighter on 08.08.2012 - 03:43

        а если перенести файлик на флешке? Это не так круто, зато работает даже на оффлайновых компьютерах, не только на одном аккаунте, и сводит к минимуму возможность несанкционированного чужого доступа.

        • #56 by john_scar on 08.08.2012 - 05:44

          Когда у меня встал выбор между дропбоксом и флэшкой для хранения там не важных, но часто используемых программ (для игры), то вариантов особо много не было: дропбокс. Самый главный плюс его в данном случае, что программа по сути запускается с жёсткого диска, т.е. заметно быстрее, чем у большинства флэшек.
          Так же есть один не маловажный плюс: закинул файлик туда и всё. Не надо физически носить что-то. Флэшку же легко можно забыть или потерять.
          Т.е. в любом случае все эти сервисы, если не использовать шифрование на своей стороне, только для хранения не критичной информации и удобный способ поделиться чем-нибудь (вариант папки паблик в том же дропбоксе).

  14. #57 by real_brighter on 07.08.2012 - 19:04

    кто-нибудь может объяснить, в чем смысл облачных сервисов. Не для третьих дядей, которые имеют/могут иметь доступ ко всем твоим документам, а лично для тебя, любимого?

    Блин, только хард, только хардкор:)

    • #58 by zharkov on 07.08.2012 - 19:22

      Доступ к данным с разных устройств — дома, на работе, с телефона. И актуальность этих данных — сделал что-то с компьютера, изменения видны на телефоне.

    • #59 by john_scar on 07.08.2012 - 20:28

      Положил дома файлик, на работе прочитал. Набор программ каких небольших и т.п.

      • #60 by real_brighter on 08.08.2012 - 03:43

        а если перенести файлик на флешке? Это не так круто, зато работает даже на оффлайновых компьютерах, не только на одном аккаунте, и сводит к минимуму возможность несанкционированного чужого доступа.

        • #61 by john_scar on 08.08.2012 - 05:44

          Когда у меня встал выбор между дропбоксом и флэшкой для хранения там не важных, но часто используемых программ (для игры), то вариантов особо много не было: дропбокс. Самый главный плюс его в данном случае, что программа по сути запускается с жёсткого диска, т.е. заметно быстрее, чем у большинства флэшек.
          Так же есть один не маловажный плюс: закинул файлик туда и всё. Не надо физически носить что-то. Флэшку же легко можно забыть или потерять.
          Т.е. в любом случае все эти сервисы, если не использовать шифрование на своей стороне, только для хранения не критичной информации и удобный способ поделиться чем-нибудь (вариант папки паблик в том же дропбоксе).

  15. #62 by real_brighter on 07.08.2012 - 19:04

    кто-нибудь может объяснить, в чем смысл облачных сервисов. Не для третьих дядей, которые имеют/могут иметь доступ ко всем твоим документам, а лично для тебя, любимого?

    Блин, только хард, только хардкор:)

    • #63 by zharkov on 07.08.2012 - 19:22

      Доступ к данным с разных устройств — дома, на работе, с телефона. И актуальность этих данных — сделал что-то с компьютера, изменения видны на телефоне.

    • #64 by john_scar on 07.08.2012 - 20:28

      Положил дома файлик, на работе прочитал. Набор программ каких небольших и т.п.

      • #65 by real_brighter on 08.08.2012 - 03:43

        а если перенести файлик на флешке? Это не так круто, зато работает даже на оффлайновых компьютерах, не только на одном аккаунте, и сводит к минимуму возможность несанкционированного чужого доступа.

        • #66 by john_scar on 08.08.2012 - 05:44

          Когда у меня встал выбор между дропбоксом и флэшкой для хранения там не важных, но часто используемых программ (для игры), то вариантов особо много не было: дропбокс. Самый главный плюс его в данном случае, что программа по сути запускается с жёсткого диска, т.е. заметно быстрее, чем у большинства флэшек.
          Так же есть один не маловажный плюс: закинул файлик туда и всё. Не надо физически носить что-то. Флэшку же легко можно забыть или потерять.
          Т.е. в любом случае все эти сервисы, если не использовать шифрование на своей стороне, только для хранения не критичной информации и удобный способ поделиться чем-нибудь (вариант папки паблик в том же дропбоксе).

  16. #67 by tarkhil on 08.08.2012 - 05:06

    В добавлении кредитки прокол у Амазона.

  17. #69 by tarkhil on 08.08.2012 - 05:06

    В добавлении кредитки прокол у Амазона.

  18. #71 by tarkhil on 08.08.2012 - 05:06

    В добавлении кредитки прокол у Амазона.

Это не обсуждается.