Mat Honan, bývalý redaktor serveru Gizmodo o jehož příběhu ze ztraceným účtem k iCloudu jsme vás již informovali, nyní poskytl kompletní informace o tom, jak se podařilo jeho účet ovládnout hackerem. Své vyjádření připojil také Apple. Mat si nejprve myslel, že šlo o prosté zjištění hesla některým z dešifrovacích nástrojů. Takto vnímal situaci bezprostředně po útoku a my jsme jeho slova přinesli přímo zde. Následně se však ukázalo, že hackerovi stačilo využít prostého sociálního inženýrství, které proslavilo jednoho z nejznámějšího hackerů na světě Kevina Mitnicka.
Jak se ukázalo, Apple vyresetuje vaše heslo v momentě, kdy v telefonickém hovoru na oficiální podporu společnosti zavoláte s tím, že jste zapoměli heslo k vašemu účtu. V ten moment se vás operátor zeptá na jednoduché tři údaje, po jejichž zprávném zodpovězení je heslo automaticky vyresetováno a operátor vám sdělí nové heslo. Jen tři údaje jsou emailová adresa, která je spojena s účtem, čtyři poslední čísla kreditní karty a adresu, kterou jste zadali při registraci do iCloudu. V momentě, kdy vše zodpovíte správně, operátor neváhá a heslo resetuje.
Samozřejmě pokud jste veřejně známá osoba jako je například Mat Honan, tedy jste bloger, redaktor nebo někdo ještě mnohem známější, není zřejmě až tak složité získat vaši adresu. V ČR/SR pak bohatě stačí, když jste živnostník a adresa živnosti se shoduje s adresou, kterou používáte pro iCloud nebo Amazon. S číslem kreditní karty je to již o něco složitější a v podstatě musíte využívat služeb Amazonu nebo jiného elektronického obchodu, který pracuje na stejném principu jako Amazon. Pokud využíváte například zmíněný Amazon, stačí aby hacker udělal následující.
1. Zavoláte na podporu Amazonu a požádá a přidání čísla platební karty k účtu. Nyní zadáte vaše, tedy hackerovo číslo účtu. Stačí když znáte mailovou adresu spojenou s účtem a adresu.
2. Zavoláte znovu do Amazonu a řeknete, že jste ztratili přístup k emailovému účtu. Amazon vám na základě sdělení údajů o adrese bydliště a čísla kreditní karty, které jste předtím zadali, sdělí heslo k účtu. Tím získáte kompletní přístup k účtu na službě Amazon, kde v historii změn nastavení najdete původní číslo účtu, které patří jeho skutečnému majiteli. Tím se vám dveře do iCloudu zcela otevřou. Nyní již jen stačí zavolat na podporu Apple a nadiktovat vše co jste předtím získali.
*Sehnat mail na Mata Honana není zrovna problém…
Oficiální prohlášení Apple k případu hacknutí iCloud účtu, jenž se dostalo Matovi je následovné: „Apple bere vážně soukromí svých zákazníků a vyžaduje více forem ověřování před resetováním hesla. V tomto konkrétním případě byli zákazníkovi údaje ohroženy osobou, která získala osobní informace o zákazníkovi. Uděláme revizi všech našich procesů, které jsou nutné pro resetování hesla, aby byla data našich zákazníků chráněna.“
V článku mi chybí zásadní informace, kterou jsem četl na jiném serveru: zaměstnanec firmy Apple se nezeptal na bezpečnostní otázku, kterou měl Honan nastavenou. Čili i Apple má svůj podíl viny na celém problému.
„Only tři údaje jsou…“
Chybicka se vloudila, only asi nebude ceske slovicko :)
no, já bych řekl, že to je sakra průšvih Applu a moc čelem se k tomu nepostavili…
Mně tohle jako nějaký průšvih Applu teda nepříjde. Někdo holt zneužil spoustu informací. A vždyť přece před pár měsíci Apple přidával 3 bezpečnostní otázky.
Zaujimave ze CISTA NAHODA ze ucet bol hacknuty prave redaktorovy bulvarneho web magazinu, a ze hned to od zaciatku mohol vsetko monitorovat,
to je uplna nahodicka :))))