mboost-dp1

SXC - daniel447

Sådan blev ex-Gizmodo-ansat hacket

- Via Ars Technica - , redigeret af Pernicious

Mat Honan, der tidligere har arbejdet for Gizmodo, fik fornylig sin AppleID-konto hacket, hvorefter hans iPhone, iPad and MacBook blev slettet samt hans email-konto og Twitter-konto. Nu er der kommet flere detaljer frem, om hvordan disse konto blev kompromitteret.

Læs også: Apple skyld i Gizmodo Twitter-hack

Det hele startede hos Amazon, hvor hackerne brugte et sikkerhedshul, hvor det tidligere har været tilladt via telefonen at tilføje et kreditkort til sin Amazon-konto. Hackerne ringede til Amazon-support, hvor de tilføjede et kreditkort til Matt Honans Amazon-konto. Efter dette lagde de på, hvorefter de igen ringede til Amazon-support for at sige, at de havde mistet adgangen til Mat Honans Amazon-konto.

Ved hjælp af det nyligt tilføjede kreditkort kunne hackerne overbevise Amazon om at tilføje en ny email-adresse til kontoen. Denne adresse brugte de til at nulstille kodeordet på Honans Amazon-konto, hvorefter de på kontoen kunne se Honans private adresse og de sidste fire cifre i hans kreditkortnummer.

Med Honans private adresse og de fire sidste cifre i hans kreditkortnummer kunne hackerne overbevise Apple-support om at sende et midlertidigt kodeord. Med dette kodeord kunne de logge ind på Honans AppleID-konto.

Om fremgangsmåden skriver Matt Honan blandt andet at det er mærkeligt at Amazon og Apple har et forskelligt syn på de fire sidste cifre i et kredirtkortnummer.

Mat Honan skrev:
The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.

Da Wired prøvede at gentage metoden, fik de at vide af Amazon-support, at det ikke længere var muligt at tilføje et kreditkort til en Amazon-konto over telefonen. Amazon-support sagde denne ændring var kommet om morgenen som et modsvar til hackingmetoden.

Hos Apple lyder svaret, at det kompromitteringen skyldes et problem med, at nogle medarbejdere ikke havde fulgt retningslinierne helt.

Apple skrev:
Apple takes customer privacy seriously and requires multiple forms of verification before resetting an Apple ID password. In this particular case, the customer’s data was compromised by a person who had acquired personal information about the customer. In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.

Denne melding til trods har Honan to gange fået bekræftet fra Apple-support, at det eneste som kræves for at tilgå en AppleID-konto er en email-adresse, en privatadresse og de sidste fire cifre i et kreditkortnummer.





Gå til bund
Gravatar #1 - demolition
8. aug. 2012 15:21
Jeg har også mange gange undret mig over hvor meget der kan lade sig gøre over telefon.. Man kan ofte også ringe til banken og flytte penge og optage lån helt uden at banken kan verificere at man er den man giver sig ud for at være. Hvis man har vedkommendes sygesikring og kontokort (en stjålen pung) så kan man komme ret langt.
Gravatar #2 - jhm
8. aug. 2012 15:29
Power of social engineering!
Gravatar #3 - webwarp
8. aug. 2012 15:56
#1 ja men du når ikke ret langt før du er sporet igen med en overførsel fra banken :=)
Gravatar #4 - Bjarni
8. aug. 2012 16:12
#3 Nu når man har personens pung har man måske også hans kreditkort. Så efter du har optaget et lån så har du selvfølgelig hævet pengene eller brugt dem til at købe for i Bilka og derefter leveret varerne tilbage igen for at få kontanterne.

Men det er med i bankernes risikovurdering og det er begrænset hvor meget man kan snyde for på den måde. Og de fleste der gider gør den slags for den størrelse penge er også så snot dumme, at de afslører sig selv alligevel.
Gravatar #5 - binderup
8. aug. 2012 16:44
Med håb om at denne debat ikke ender med at blive en Apple bashing tråd, så håber jeg at det der kommer ud af denne historie er at alle cloud virksomhederne i den grad strammer op omkring sikkerheden, ikke kun den sikkerhed der er omkring opbevaring af data, men i særdeleshed også hvad angår recovery af data eller adgang til data.

2 Way factor godkendelse (som den Google, Blizzard eller såmænd NemID) er et skridt i den rigtige retning, men er stadig for mange et abstrakt område som de har svært ved at forstå, eller i det mindste forstå hvorfor det kan begrænse adgang til deres data.

Men den største udfordring er og bliver at hvis der er interaktivitet mellem to mennesker, så er der risiko for fejlfortolkning af situationen og dermed nemmere spil for folk der er gode til social engineering.
Gravatar #6 - thimon
8. aug. 2012 17:09
Der er vistnok en nyhed i kø, hvor Apple vistnok har lukket ned for at kunne tilgå AppleID via telefonen eller sådan noget.

Jeg nåede bare at skrive nyheden inden Apple kom med deres rettelse.
Gravatar #7 - er4qer
8. aug. 2012 17:34
Social Engineering kan man satme komme langt med :)
Gravatar #8 - Maias227
8. aug. 2012 18:36
thimon (6) skrev:
Der er vistnok en nyhed i kø, hvor Apple vistnok har lukket ned for at kunne tilgå AppleID via telefonen eller sådan noget.

Jeg nåede bare at skrive nyheden inden Apple kom med deres rettelse.


Så vidt jeg kan forstå har Amazon også lukket deres hul mens Apple har lukket deres for en bemærkning mens de overvejer hvordan sikkerheden kan styrkes.
Gravatar #9 - binderup
9. aug. 2012 04:59
#6, #8

De har sat en lås på 24 timer på at få konto adgang gendannet. Går ud fra at det så giver tid til at den rette ejer kan kontakte dem hvis det ikke er ham/hende der har bedt om gendannelse.

Det ændre dog ikke problem stillingen hvis recovery e-mail adressen er hacket allerede.
Gravatar #10 - kalaha
13. aug. 2012 02:31
Hvorfor står der han blev hacket? Det blev han jo ikke... De nyheder her altså... Kan I ikke begynde at sortere lidt i dem? I kunne evt. starte med at slette Thimons nyheder, det ville pynte på siden.
Gravatar #11 - binderup
13. aug. 2012 05:18
#10

De gik efter hans @mat twitter navn - 3 bogstavers twitter handles er tilsyneladende hotte.

Apple har tilbudt ham at få et data recovery firma til at se om de kan hive data ud af disken, for der er et lille chance for at slette proceduren ikke var nået alle skridt igennem.

Jeg skrev til ham forleden, der var billederne ikke genskabt, var svaret.

Grunden til at de slettede telefon, og indhold på computerne var for at købe tid, så han ikke kunne reagere - altså de købte sig tid. Havde han haft 2 way authentication slået til ved Google, så var de ikke kommet langt med hacket.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login