LINUX.ORG.RU
ФорумTalks

Вот так легко хакнуть все аккаунты

 your life online,


1

5

Я просто скопипащу это здесь

Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями

★★★★★
Пиво IRL в Донецке
W7 не готова для десктопа!

1 2
Ответ на: комментарий от Anonymous

Честному человеку среди честных людей скрывать нечего

buddhist ★★★★★
()
Ответ на: комментарий от DNA_Seq

Вот пользовался линуксом - все было бы иначе.

ога, ога, ubuntu one и всё твои данные в /dev/null

Reset ★★★★★
()

двухступенчатая авторизация у Мэта включена не была

ССЗБ

Амазон спросил адрес, имя и email
Amazon попросил имя, адрес и номер кредитной карты

Эпично. Про такую вещь как, например, «кодовые слова» они не слышали?

А вообще, история позитивная. Глядишь, мужик образумится и вытащит все зонды.

buddhist ★★★★★
()
Ответ на: комментарий от Karapuz

Он потерял всё

Люди из конца двадцатого века смотрят на вас с немым укором.

buddhist ★★★★★
()

была удаленно уничтожена информация на его iPad, iPhone и MacBook

iPad, iPhone и MacBook

ССЗБ.

CYB3R ★★★★★
()

Должны страдать.

trex6 ★★★★★
()

Вот поэтому я делаю шифрованные бэкапы на два независимых сервера. И после этого меня ещё будут называть параноиком?

История, конечно, жутко печальная. Нужны приватные облака. Что это такое? Я вот щас как раз думаю над этим.

true_admin ★★★★★
()

Первый раз злоумышленник восхотел добавить кредитку на Амазон. Чтобы проверить, что тот действительно владелец аккаунта, Амазон спросил адрес, имя и email.

Почему не спросили старую кредитку?

Второй раз злоумышленник восхотел восстановить утерянный аккаунт Амазона. Амазон попросил имя, адрес и номер кредитной карты.

А теперь то нахрена ее спрашивать?

И да, мой гугловый ящик который засвечен на ЛОРе, совсем не тот гугловый ящик на котором Амазона аккаунт повешен.

И зря я с первого снял двухступенчатую авторизацию, пойду обратно поставлю.

И еще. Амазон требует при заполнении персональных данных ввести номер телефона. Может и не требует, не помню, но добровольно я бы его не ввел, а раз он там, значит требовали. Теперь я из-за них чуть в рекурсию не ушел.

Какого, извините, ху* не воспользоваться этим телефоном для восстановления прав владельца?

Munhgauzen
()

Довольно много ошибок и у самого писателя из gizmodo:

  • Не юзал двухфакторную аутентификацию в гугле
  • Включил удаленный wipe на своих устройствах и не позаботился о backup'ах (time machine для кого?)
  • Регистрировал apple account на гугловый. Надо было просто добавить '+чегонибудь' к имени ящика, gmail такое понимает - вроде 'account+forapple@gmail.com".
maxcom ★★★★★
()
Ответ на: комментарий от delete83

Нехер светить свои ПД везде

Да ты чо. Честному человеку скрывать нечего!

ugoday ★★★★★
()

Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email

heroic fail

stevejobs ★★★★☆
()
Ответ на: комментарий от Deleted

Независимые сервера принадлежат тебе или облака?

два физических мне (один десктоп, но с белым ипом, второй железка в датацентре) + одна виртуальная тачка в облаке на всякий случай.

true_admin ★★★★★
()
Ответ на: комментарий от maxcom

Если Амазон позволяет поменять пароль всего лишь по имени, адресу и номеру кредитки, то тут можно полмира взлома :) Имя и адрес - вообще не проблема, запалить кредитку - дело одного дня.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

запалить кредитку - дело одного дня

Дык не нужно же палить. Амазон о вас позаботился :)

Xenesz ★★★★
()
Ответ на: комментарий от true_admin

История, конечно, жутко печальная. Нужны приватные облака.

Нет, походу этот вброс на wired сделали чтобы подтолкнуть американскую общественность к введению e-passport, e-id или как там оно у них называется. Короче вы поняли

Karapuz ★★★★★
() автор топика
Ответ на: комментарий от maxcom

в смысле имея мыло dk@gmail.com (к примеру) я могу при регистрации указать мыло вида dk+bla-blabla@gmail.com и письмо ко мне придет?

классно! а давно это поддерживается? а какие проблемы могут быть?

dk-
()
Ответ на: комментарий от Karapuz

Дакой вброс наоборот оттолкнет общественность от облачных сервисов и всяких e-passport

Deleted
()
Ответ на: комментарий от dk-

а еще можешь написать d.k@gmail.com и тоже придет Это единственная полезная фитча гогле-почты, но сейчас и другие почтовики ее подхватили тк-что гугл не нужен.

Deleted
()
Ответ на: комментарий от delete83

Нехер светить свои ПД везде, где ни попадя и в полном объеме.

А как ты в амазоне будешь товар покупать? посылку куда доставлять будут, на п/я до востребования? Они откажутся
Или я, хотел тут логитековскую мышку поменять, как увидел сколько им нужно инфы подумал лучше куплю новую, хер с этими $100

Karapuz ★★★★★
() автор топика
Ответ на: комментарий от dk-

хз, мошенники существовали задолго до компьютеров. и за что гугл платит по $10000 за найденную дыру в хроме как не за ум

Karapuz ★★★★★
() автор топика
Ответ на: комментарий от Karapuz

и за что гугл платит по $10000 за найденную дыру в хроме

За пиар

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от Karapuz

гуглу пофигу на эти 10к. пусть даже 100к. это реклама.

dk-
()
Ответ на: комментарий от Stvad

В настройках где то, где точно не помню - не юзаю я её :)

winddos ★★★
()

Amazon попросил имя, адрес и номер кредитной карты.

злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты

Как мне эти службы ненавязчивого восстановления паролей! Достали уже. Гугл уже год хочет узнать номер моего мобильника, чтоб при первой же возможности отСМСить туда пароль от почты. Привязки одного емэйла к другому вообще не должно существовать. Файл с паролями на локальном компе, зашифрованный длиннющим ключом (который вряд ли забудется, ведь я его ввожу 2-3 раза в неделю) и десяток его резервных копий - все, что нужно для восстановления забытых паролей.

Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook

Нуууу... хакнутый зонд - это уже удовольствие в квадрате.

Вывод: Мэтт Хонан - ССЗБ.

segfault ★★★★★
()

лопух автор что уж говорить.

saibogo ★★★★
()

Решето, ну и в облаках хранить информацию небезопасно, да.

cetjs2 ★★★★★
()
Ответ на: комментарий от maxcom

Дай подумать... Адрес электронной почты на google. Адрес электронной почты на apple, номер телефона... Все это персональные данные, по которым можно однозначно идентифицировать человека.

UPD: еще адрес забыл, который домашний.

delete83 ★★
()
Последнее исправление: delete83 (всего исправлений: 1)
Ответ на: комментарий от Karapuz

А как ты в амазоне будешь товар покупать? посылку куда доставлять будут, на п/я до востребования? Они откажутся Или я, хотел тут логитековскую мышку поменять, как увидел сколько им нужно инфы подумал лучше куплю новую, хер с этими $100

И это правильно. Чем меньше обо мне знают незнакомые мне люди, тем лучше для меня.

delete83 ★★
()
Ответ на: комментарий от PolarFox

Это цитата из закона о персональных данных, правда закон этой страны, а не США, но суть у них общая. Мы же с них срисовали свой.

delete83 ★★
()
Ответ на: комментарий от ekzotech

А вот ты и я - вряд ли кому-то нужны.

Вот так и возникают ботнеты, хорошо, что ещё до скайнетов не дошло :)

Attila ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Пиво IRL в Донецке
Talks
W7 не готова для десктопа!