24

Do przejęcia konta iCloud nie potrzebne są zdolności hakerskie ani socjotechnika

Wreszcie stało się jasne jak włamywacze przejęli konto iCloud Mata Honana. Skąd te informacje? Od samego włamywacza, który w długiej rozmowie poprzez komunikator internetowy wyjawił swojej ofierze jak udało się to osiągnąć. Największy problem polega na tym, że informacje, które Apple uznaje za wystarczająco poufne, do potwierdzenia tożsamości, Amazon udostępnia publicznie. Jeśli ta sama osoba […]

Wreszcie stało się jasne jak włamywacze przejęli konto iCloud Mata Honana. Skąd te informacje? Od samego włamywacza, który w długiej rozmowie poprzez komunikator internetowy wyjawił swojej ofierze jak udało się to osiągnąć. Największy problem polega na tym, że informacje, które Apple uznaje za wystarczająco poufne, do potwierdzenia tożsamości, Amazon udostępnia publicznie. Jeśli ta sama osoba posiada konta w obu serwisach… W tym momencie staje się jasne, że potrzebna jest spójna polityka bezpieczeństwa wielkich serwisów internetowych, inaczej takich sytuacji będzie znacznie więcej. Redaktorzy Wired powtórzyli całą procedurę z sukcesem, przejmując kontrolę nad innym kontem iCloud.

Chociaż samo przejęcie konta iCloud jest względnie proste, to sytuacja która do tego doprowadziła jest złożona i wymaga rozwiązania systemowego. Istotą problemu jest to, że w różnych zakamarkach sieci można znaleźć wiele, pozornie nieistotnych informacji na nasz temat, ale kiedy zbierzemy je wszystkie, okazuje się, że można je wykorzystać w bardzo konkretny sposób. Najlepszym przykładem jest historia Mata Honana.

Okazuje się, że do zresetowania hasła do iCloud potrzebne są: imię i nazwisko właściciela konta, adres e-mail na który konto zostało zarejestrowane, adres podany do wystawienia rachunków za płatności kartą kredytową, oraz ostatnie 4 cyfry karty kredytowej. Imię i nazwisko ofiary jest zwykle znane, skoro chcemy włamać się na konkretne konto, e-mail, jeżeli nie został założony specjalnie tylko do zarządzania kontem AppleID, również, zwykle posługujemy się nim w korespondencji, może nawet podaliśmy go na jakiejś stronie. Podobnie z adresem, MacKozer zauważa na swoim blogu, że można go pozyskać chociażby z publicznie dostępnej baz danych whois, jeśli ofiara ma zarejestrowana prywatną domenę.

Zostają 4 ostatnie cyfry karty kredytowej, ostatnia linia oporu. Okazuje się, że Amazon uznał te cyfry za wystarczająco nieistotne, żeby podawać je do informacji publicznej pozwalał telefonicznie dodać numer nowej karty kredytowej, pod warunkiem, że dzwoniący podał nazwisko i adres. Następnie wystarczyło jeszcze raz zadzwonić do Amazonu, powiedzieć, że utraciliśmy dostęp do konta, podać numer karty kredytowej dodanej poprzednim telefonem (numer może być oczywiście zmyślony) i tym sposobem otrzymać wiadomość restującą hasło na nowego, wskazanego maila. Po zalogowaniu się na konto Amazonu widać 4 ostatnie cyfry poprzedniej, tej właściwej karty kredytowej. W efekcie, jeżeli ktoś używa tej samej karty do zakupów w AppStore oraz w Amazonie, pozyskanie tych 4 cyfr nie stanowi żadnego dużego problemu. Zresztą to nie jedyne miejsce, gdzie te ostatnie 4 cyfry można zdobyć, w USA czasem podaje się je chociażby podczas zamawiania Pizzy… wraz z adresem oczywiście.

Sam Mat powiedział tak:

The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.‪

Mówiąc krótko, wszystkie dane wymagane przez support Apple do podesłania na wskazany adres maila zawierającego reset hasła, można pozyskać z sieci, bez włamywania się na konta, łamania haseł, czy przekonywania niekompetentnych pracowników do zdradzenia informacji, których nie powinni byli zdradzić. Wszystko jest po prostu zgodne z procedurą. Następnie po uzyskaniu dostępu do iCloud i AplleID, możemy zdanie wymazać dane z urządzeń Apple, jeśli tylko miały włączoną funkcję „Find my…”, możemy również obciążyć konto ofiary, dokonując zakupów w AppStorze. Zabezpieczenia nie przystają do skali potencjalnych szkód.

Ponieważ coraz więcej naszych danych trzymamy w sieci i stawanie okoniem w tym wypadku nie ma większego sensu, najwyższy czas, aby firmy oferujące usługi przechowywania naszych danych pomyślały o naszym bezpieczeństwie znacznie poważniej. Dropbox już dwukrotnie miał poważne problemy, za pierwszy razme umożliwił zalogowanie się do dowolnego konta dowolnym hasłem, za drugim wyciekła baza danych e-maili klientów korzystających z serwisu. Teraz wprowadza dwuczynnikowe uwierzytelnianie. Gmail od dawna posiada taką opcje. Czas aby stała się ona standardem, czy to się użytkownikom podoba czy nie. Kiedy zakładałem internetowe konto w banku, nikt mnie nie pytał, czy chcę dwuczynnikowe uwierzytelnianie, ono po prostu jest obowiązkowe. Przydałaby się również spójna polityka bezpieczeństwa określająca jakie dane są konieczne przy odzyskiwaniu konta. Ustalenie takich standardów nie jest przecież trudne, jeśli tylko firmy zajmujące się trzymaniem wrażliwych danych użytkowników zechcą się dogadać.

Standard jest potrzebny, bo nikt nie chce mieć 50 osobnych aplikacji generujących kody do logowania, czy 50 różnych kluczy hradware’owych, które musimy nosić przy sobie w celu zalogowania do serwisu. Zostawiłbym użytkownikowi wybór, czy woli aplikację, SMSy czy sprzętowy klucz, ale gdy ten dokona wyboru, powinien mieć możliwość wykorzystania go w różnych serwisach bez problemów.

Chcących poznać całą historię Mata Honana w szczegółach, zapraszam do bardzo obszernego artykułu w serwisie Wired, który jest jednocześnie źródłem zdjęcia Mata.