Как один взлом вынудил Apple и Amazon поменять политику безопасности




Автор: Юрий Ильин
Опубликовано 08.08.2012 в блоге автора (rss)



Может ли один хакер сотрясти основы мироздания до самого до основания? Вопрос, казалось бы, риторический, но злоумышленникам из некоей группировки Clan W3 (или Clan VV3) удалось поставить на уши сразу и Amazon, и Apple, Gizmodo и журнал Wired. Больше всех, правда, досталось первой жертве взлома — журналисту Мэту Хонэну.

Всё началось в конце прошлой недели, когда в официальном твиттере Gizmodo появились ненавистнические высказывания — от лица пресловутого Clanvv3. Администраторы Gizmodo быстро вернули себе контроль над аккаунтом и обвинили в случившемся своего бывшего сотрудника Мэта Хонэна, ушедшего в Wired. Впрочем, скоро выяснилось, что сам Хонэн пострадал куда серьёзнее: у него не только твиттер хакнули, но и добрались до аккаунтов на iCloud, в Amazon и зачистили его личные гаджеты — iPhone, iPad и MacBook Air — от всех данных.

Сам Хонэн изложил свою историю в своём блоге и в большой статье в Wired. По его словам, сначала вскрыли его аккаунт на iCloud, изменили пароль, затем сменили пароль на Gmail, поскольку резервным ящиком для Gmail служил тот же, что и был привязан к iCloud.

Затем взломщики удалённо уничтожили все данные на собственных гаджетах Хонэна, влезли в твиттер и через него получили доступ к твиттеру Gizmodo.

Друзья Хонэна в Gizmodo и Gawker через знакомых в Google и Twitter помогли ему ускорить возвращение его аккаунтов, ему удалось частично восстановить данные на iPad и iPhone. Насколько удалось восстановить MacBook, он нигде писать не стал, лишь отметил, что в Apple над этим работали.

Каким образом злоумышленникам удалось взломать аккаунты Хонэна? Изначально он сам предполагал, что взломщики использовали брутфорс для того, чтобы вычислить его семизначный пароль, состоящий из букв и цифр.

Однако вскоре хакеры сами связались со своей жертвой и заявили, что никакого брутфорса не было: «У меня свои средства влезать в чужие ящики», — заявил хакер.

Впоследствии выяснилось, что злоумышленники использовали социальный инжинеринг, причём изначально они его применили при общении со службой клиентской поддержки Amazon.

Хакер представился Хонэном и сообщил, что хотел бы добавить новый номер кредитной карты к своему аккаунту; назвал полное имя, адрес электронной почты и физический адрес для выставления счетов; затем снова перезвонил в службу поддержки и сообщил, что не может получить доступ к своему счёту. Повторно назвав поддельный номер кредитки, которую якобы надо было добавить, хакер добился того, что ему позволили проассоциировать с аккаунтом Хонэна новый адрес электронной почты; через сайт Amazon можно отправить команду сброса пароля на новом почтовом адресе, при этом пользователю выводятся номера всех кредитных карт, проассоциированных с аккаунтом ранее. Естественно, не полностью — только последние четыре цифры.

В то же самое время техподдержке Apple достаточно знать адрес для выставления счёта и именно те самые последние четыре цифры номера кредитной карты, чтобы выдать временный пароль на доступ к iCloud.

Всё. Total Pwnage, если использовать англоязычный интернет-слэнг.

«Конечно, в большой степени я сам виноват, — написал Мэт Хонэн в своей статье. — Мои аккаунты были соединены друг с другом в гирлянду. Попав в аккаунт на Amazon, взломщики смогли пролезть в мой аккаунт на Apple, это помогло им добраться до Gmail, а оттуда они выудили доступ к Twitter. Но то, что случилось со мной, выявило более чем серьёзные бреши в безопасности служб поддержки, в первую очередь, Apple и Amazon».

Естественно, после этой истории и Amazon, и Apple поменяли свою политику безопасности. Если говорить конкретнее, то теперь ни в Amazon, ни в Apple невозможно поменять свой пароль по телефону. Сотрудники техподдержки Apple даже не получили формального извещения об этом — у них просто пропала такая возможность.

Всё легко и просто.Сами виноваты