PSNet, developing for LiveStreet CMS

Запостить!

Как, зная только имя и email человека, злоумышленники получили доступ ко всем его аккаунтам и удаленно уничтожили информацию на всех его устройствах

Автор: SkidanovAlex


Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний рекламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.


Копаст: habrahabr.ru

  • 0
  • 07 августа 2012, 16:22
  • drtot

Комментарии (2)

RSS свернуть / развернуть
+
0
Как один взлом вынудил Apple и Amazon поменять политику безопасности




Автор: Юрий Ильин
Опубликовано 08.08.2012 в блоге автора (rss)



Может ли один хакер сотрясти основы мироздания до самого до основания? Вопрос, казалось бы, риторический, но злоумышленникам из некоей группировки Clan W3 (или Clan VV3) удалось поставить на уши сразу и Amazon, и Apple, Gizmodo и журнал Wired. Больше всех, правда, досталось первой жертве взлома — журналисту Мэту Хонэну.

Всё началось в конце прошлой недели, когда в официальном твиттере Gizmodo появились ненавистнические высказывания — от лица пресловутого Clanvv3. Администраторы Gizmodo быстро вернули себе контроль над аккаунтом и обвинили в случившемся своего бывшего сотрудника Мэта Хонэна, ушедшего в Wired. Впрочем, скоро выяснилось, что сам Хонэн пострадал куда серьёзнее: у него не только твиттер хакнули, но и добрались до аккаунтов на iCloud, в Amazon и зачистили его личные гаджеты — iPhone, iPad и MacBook Air — от всех данных.

Сам Хонэн изложил свою историю в своём блоге и в большой статье в Wired. По его словам, сначала вскрыли его аккаунт на iCloud, изменили пароль, затем сменили пароль на Gmail, поскольку резервным ящиком для Gmail служил тот же, что и был привязан к iCloud.

Затем взломщики удалённо уничтожили все данные на собственных гаджетах Хонэна, влезли в твиттер и через него получили доступ к твиттеру Gizmodo.

Друзья Хонэна в Gizmodo и Gawker через знакомых в Google и Twitter помогли ему ускорить возвращение его аккаунтов, ему удалось частично восстановить данные на iPad и iPhone. Насколько удалось восстановить MacBook, он нигде писать не стал, лишь отметил, что в Apple над этим работали.

Каким образом злоумышленникам удалось взломать аккаунты Хонэна? Изначально он сам предполагал, что взломщики использовали брутфорс для того, чтобы вычислить его семизначный пароль, состоящий из букв и цифр.

Однако вскоре хакеры сами связались со своей жертвой и заявили, что никакого брутфорса не было: «У меня свои средства влезать в чужие ящики», — заявил хакер.

Впоследствии выяснилось, что злоумышленники использовали социальный инжинеринг, причём изначально они его применили при общении со службой клиентской поддержки Amazon.

Хакер представился Хонэном и сообщил, что хотел бы добавить новый номер кредитной карты к своему аккаунту; назвал полное имя, адрес электронной почты и физический адрес для выставления счетов; затем снова перезвонил в службу поддержки и сообщил, что не может получить доступ к своему счёту. Повторно назвав поддельный номер кредитки, которую якобы надо было добавить, хакер добился того, что ему позволили проассоциировать с аккаунтом Хонэна новый адрес электронной почты; через сайт Amazon можно отправить команду сброса пароля на новом почтовом адресе, при этом пользователю выводятся номера всех кредитных карт, проассоциированных с аккаунтом ранее. Естественно, не полностью — только последние четыре цифры.

В то же самое время техподдержке Apple достаточно знать адрес для выставления счёта и именно те самые последние четыре цифры номера кредитной карты, чтобы выдать временный пароль на доступ к iCloud.

Всё. Total Pwnage, если использовать англоязычный интернет-слэнг.

«Конечно, в большой степени я сам виноват, — написал Мэт Хонэн в своей статье. — Мои аккаунты были соединены друг с другом в гирлянду. Попав в аккаунт на Amazon, взломщики смогли пролезть в мой аккаунт на Apple, это помогло им добраться до Gmail, а оттуда они выудили доступ к Twitter. Но то, что случилось со мной, выявило более чем серьёзные бреши в безопасности служб поддержки, в первую очередь, Apple и Amazon».

Естественно, после этой истории и Amazon, и Apple поменяли свою политику безопасности. Если говорить конкретнее, то теперь ни в Amazon, ни в Apple невозможно поменять свой пароль по телефону. Сотрудники техподдержки Apple даже не получили формального извещения об этом — у них просто пропала такая возможность.
avatar

drtot

  • 08 августа 2012, 16:14
+
+1
Всё легко и просто.Сами виноваты
avatar

Doomovoi

  • 08 августа 2012, 18:01

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.