3 августа человек по имени Mat Honan в течении часа потерял всю информацию со своего макбука, айфона и айпада. Кроме того его аккаунты gmail и twitter были удалены (и полностью очищены) и была скомпрометирована часть служебной информации (твиттер электронного издания Gizmodo, где Мэт работал).
О том как это произошло Мэт написал в статье на Wired, которую я и хотел бы тут перевести, т.к. считаю это событие знаковым.
Началось всё с того, что хакерская группа, куда входил в том числе 19 летний хакер с ником Phobia, заинтересовалась 3х буквенным аккаунтом Мэта на твиттере - @mat.
Из профиля аккаунта в твиттере они дальше узнали персональный сайт Мэта, откуда вытащили его email - mhonan@gmail.com.
Логично было предположить, что именно этот ящик использовался и для привязки аккаунта на твиттере. Кроме того на персональной страничке Мэта были указаны его проекты (Мэт журналист). Whois одного из проектов выдал информацию о домашнем адресе Мэта - 1559B Sloat Blvd, San Francisco.
Логично было предположить, что именно этот ящик использовался и для привязки аккаунта на твиттере. Кроме того на персональной страничке Мэта были указаны его проекты (Мэт журналист). Whois одного из проектов выдал информацию о домашнем адресе Мэта - 1559B Sloat Blvd, San Francisco.
Далее хакер Phobia полез на страничку Google с формой восстановления пароля, откуда узнал второй email адрес Мэта - m••••n@me.com.
Мэт не включил 2х факторную аутентификацию в Гугле (по его словам, это была одна из его ошибок), поэтому Гугл сразу предложил использовать второй емаил для восстановления пароля, предварительно "спрятав" часть букв в названии мыла за звездочками. Большинство людей используют одинаковые логины при регистрации разных мыл/аккаунтов, поэтому нетрудно было догадаться, что второй ящик Мэта - mhonan@me.com.
Ящики на me.com - это по совместительству еще и AppleID - идентификатор, используемый для совершения покупок в магазине AppStore, резервного копирования и управления всеми айдевайсами (айфон, айпад, макбук и т.д.) через облако iCloud и т.д.
Дабы восстановить пароль к аккаунту @me.com через звонок в тех.поддержку Apple, необходимо знать:
- адрес почты @me.com;
- billing address - адрес проживания;
- последние 4 цифры кредитной карты, привязанной к AppleID.
Первые два пункта хакер уже знал. Осталось узнать последние 4ре цифры кредитки, и в этом ему помог Amazon.
Хакер позвонил в техподдержку Амазона, представился Мэтом и сказал, что хочет привязать к аккаунту еще одну кредитную карту (номер фальшивой кредитки он предварительно сгенерировал на одном из сайтов). Все что нужно знать для этого - ФИО, мыло и адрес. Далее он повесил трубку и перезвонил еще раз, но уже с другим запросом - он "забыл пароль от аккаунта" и хотел бы привязать ещё один ящик для восстановления пароля. Всё, что нужно знать в таком случае - ФИО, адрес и номер свежедобавленной кредитной карты (!).
Теперь осталось зайти на страничку Амазона и посмотреть последние 4 цифры привязанной старым хозяином кредитной карты. Бинго!
Примечательно, что такую информацию как ФИО, домашний адрес, телефон и номер карты знает любой курьер, который хоть раз привозил вам домой заказы из интернет-магазина.
Узнав AppleID, хакер получил доступ к iCloud. Кстати используя софт Elcomsoft'а, он мог бы вытянуть из всех айдевайсов Мэта все письма, фотографии, смс, контакты, заметки, календари и файлы различных приложений. Но вместо этого он отформатировал память айфона, айпада и макбука, уничтожив все документы, личные фотографии и переписку за несколько лет жизни Мэта + заблокировал пинкодом доступ к устройствам.
Восстановив пароль от гмыла на почту AppleID, хакер удалил аккаунт почты Google, сбросив через него предварительно пароль от твиттера. Перед тем как удалить аккаунт на твиттере, хакер оставил сообщение, ради которого всё и затевалось.
Вот и всё. Конечно, если бы Мэт был объектом целенаправленной атаки - у него могли бы увести деньги из онлаин-банка, уволить его с работы из-за отправленного от его имени письма или твита, обнародовать конфиденциальную информацию с его макбука и многое многое другое. Но Мэту "повезло" - хакеров интересовало только красивое имя его аккаунта.
Мэт Хонан потратил несколько часов на то, чтобы частично восстановить то, что он потерял. Ему даже вернули аккаунт на твиттере. Сейчас он занят тем, что пытается восстановить фотографии новорождённой дочери с телефона. Очень надеюсь, что ему это удастся.
А нам с вами стоит лишний раз сделать оффлаин бэкап, включить 2х факторную аутентификацию в Гугле, фейсбуке и везде где есть, и завести специальный ящик с уникальным паролем, который использовать только для восстановления паролей с других аккаунтов.... ну и надеяться, что аккаунт на твиттере вида 4rt3m никого не заинтересует =)
Аяяяй...больше всего мне не понравился Амазон ))
ОтветитьУдалитьА я вот сижу и думаю насколько такое прокатит с меил.ру, вконтакте и одноклассниками? Стоит ведь ожидать и еще меньшей степени защиты наших "деревенских" сервисов...
УдалитьИсходя из алгоритма действий злоумышленника, для сервисов без поддержки двухфакторной аутентифкации опасными с точки зрения возможности атаки будут следующие условия:
Удалить- задекларированные личные данные, которые могут быть использованы на сервисах типа Амазон для проведения различных операций (адрес);
- совпадающие имена почтовых ящиков для определения возможных объектов атаки.
Если бы хотя бы одно из этих условий не было выполнено, 100 лет бы ломали
Вобще-то тема боян. Просто у чувака совпало всё неудачно.
ОтветитьУдалитьУ амазона - это конечно уязвимость.
А у Apple iCloud - очень опасна штука. При таких возможностях - надо вообще отключать возможность восстановления пароля - от греха подальше.
PS: У многих сервисов ещё есть дополнительные вопросы.
Тут уж действительно будет зависить от социнженерии.
PPS: убери антиспам проверку сообщений?
если и боян - то мне раньше ничего такого не попадалось. Сломать 4ре ключевых аккаунта без единого подбора/перехвата пароля!
Удалитьа как можно отключить возможность восстановления пароля? забыл пароль - выбрасывай девайс и начинай все с начала?
секретные ответы на вопросы штука старая. гугл их уже не использует. да и юзеры уже стали намного внимательней тут.
капчу убрал..
на хабре и хакере куча статей как взломать почту
ОтветитьУдалитьhttp://habrahabr.ru/company/pt/blog/135056/
http://ammosov.livejournal.com/245171.html
а пароль не забывай :)
или переходи на усиленную аутентификацию и SAM тебе поможет
ни в одной из этих статей нет и намека на взлом цепочки из аж 4х аккаунтов!
Удалить"пароль не забывай" чаще всего означает "использую повторяющиеся пароли", что иногда может быть намного опасней чем забытый пароль.
усиленную аутентификацию уж точно нельзя представить без процедуры восстановления, ибо токены и телефоны теряют постоянно.
Да, именно такой цепочки нет.
УдалитьНо теоретически ты можешь хоть 100, хоть 1000 новых сервисов привязать по восстановлению к одной почте mail.ru. А потом злоумышленник восстановит на себе твой пароль от mail.ru и захватит твои 100 сервисов.
Сама уязвимость процедуры восстановления паролей уже 10 лет как жуется, а воз и ныне там.