SOCIJALNI INŽENJERING

Kako su hakeri prevarili Apple i Amazon

08.08.2012 u 10:07

Bionic
Reading

Dva hakera vješto su zavarala korisničke službe i iskoristila rupe u sigurnosnim politikama dva diva kako bi upala u korisnički račun Wiredovog novinara

Hakerski upad u korisnički račun Wiredovog novinara Mata Honana na Appleovu servisu Cloud natjerao je tvrtku iz Cupertina - ali i Amazon - na promjenu sigurnosnih politika.

Podsjećamo, vješti je haker uspio prevarom navesti djelatnika Appleove korisničke podrške da mu omogući pristup Honanovom korisničkim računima za e-poštu i AppleID. Potom je obrisao podatke na Honanovom iPhoneu, iPadu i MacBooku, nastojeći se dokopati pristupa korisničkom računu na Twitteru, koji ma samo tri slova (@mat).

Nakon što je povratio kontrolu nad svojim digitalnim identitetom u Appleovoj domeni, Honan je uspio popričati s jednim od hakera, koji se predstavlja kao Phobia. Od njega je doznao kako su hakirali njegov korisnički račun. 'Iskreno, možeš upasti u bilo koji e-mail povezan s Appleom', pohvalio se Phobia Honanu, prenosi CNET

Kako su hakeri prvotno namjeravali upasti u Honanov Twitter, prvo su pogledali njegov korisnički račun na mikrobloging servis i pogodili adresu na Gmailu. Nije imao aktiviranu dvostupanjsku identifikaciju, pa su se uspjeli dokopati njegove pomoćne adrese, koja je ujedno bila i AppleID.

Idući koraci bili su razmjerno jednostavni. Kako bi došli do pristupa AppleID-u, Phobia i njegov partner morali su pribaviti zadnja četiri broja Honanove kreditne kartice.

To su obavili uz pomoć Amazona. Nazvali su njihovu korisničku podršku i dodali lažni korisnički račun za kreditnu karticu. Potom su ponovno nazvali Amazon i rekli im kako su izgubili lozinku.

Dali su lažni broj kreditne kartice i tako dodali novi korisnički račun za e-poštu, što im je omogućilo uvid u zadnja četiri broja Honanove kreditne kartice. Zatim su nazvali AppleID i upotrijebili broj kreditne kartice, kao i Honanov rođendan (našli su ga guglajući) kako bi dobili privremenu lozinku. S time su upali u Gmail i Twitter.

Mada je Honan uspio doći ponovno u posjed svog korisničkog računa, podaci - uključujući fotografije koje su njegova djeca pohranila na njegovom laptopu - vjerojatno su nepovratno izgubljeni.

Zbog ovog incidenta Amazon i Apple mijenjat će sigurnosne politike. Amazon više ne podržava telefonsku promjenu postavki korisničkih računa. Apple još razmišlja što će napraviti, ali je do daljnjega zamrznuo sve telefonske zahtjeve za promjenu lozinki za AppleID.

Hakeri su, čini se, uspjeli u svom naumu - sigurnosni propusti dvije velike tvrtke objavljeni su, pa će ih morati popraviti. No, uz koju cijenu? Zamislite da ste izgubili sve osobne podatke, kao i pristup svojim uređajima. Može se to dogoditi i vama, ako ste sve podatke pohranili u računalni oblak koji nije dovoljno osiguran.

Da je bila aktivirana dvostupanjska zaštita za pristup Gmailu, hakeri vjerojatno ne bi uspjeli. Stoga bi bilo mudro uključiti je za servise u oblaku.