10

Wszyscy zyskamy na tym, że Mat Honan stracił swoje konto iCloud – Amazon i Apple uszczelniają zabezpieczenia

Nie zazdroszczę Matowi Honanowi tego, że stracił wszystkie swoje dane z telefonu, tabletu i laptopa. Co prawda sam nie jest bez winy, wystarczy wspomnieć o chociażby braku podstawowego backupu na dysku zewnętrznym, ale mimo to nikomu nie życzę aby w taki sposób przekonał się, jak ważna jest kopia bezpieczeństwa. Są jednak pozytywne strony tej historii. […]

Nie zazdroszczę Matowi Honanowi tego, że stracił wszystkie swoje dane z telefonu, tabletu i laptopa. Co prawda sam nie jest bez winy, wystarczy wspomnieć o chociażby braku podstawowego backupu na dysku zewnętrznym, ale mimo to nikomu nie życzę aby w taki sposób przekonał się, jak ważna jest kopia bezpieczeństwa. Są jednak pozytywne strony tej historii. Ponieważ Mat był redaktorem w Gizmodo i opisał szczegółowo na swoim blogu, oraz w wywiadzie dla Wired, jak doszło do tego, że stracił konto iCloud, a cała historia odbiła się szerokim echem w mediach, dwie wielkie firmy postanowiły uszczelnić swoje zabezpieczenia, mowa o Amazonie i Apple.

W osobnym artykule na Antyweb opisałem jak dokładnie doszło do przejęcia konta iCloud Mata Honana. Przypomnę tylko, że jednym z kluczowych elementów była błędnie zaprojektowana procedura odzyskiwania konta w sklepie Amazon. Mianowicie Amazon umożliwiał przypisanie nowego numeru karty kredytowej telefonicznie, podając jedynie nazwisko i adres przypisane do konta w sklepie. Numer karty mógł być zmyślony. Następnie można było wykonać drugi telefon do Amazonu i poprosić o odblokowanie dostępu do konta. W celu weryfikacji należy podać numer karty kredytowej… który podaliśmy dzwoniąc za pierwszym razem. W efekcie Amazon podsyłał link do zresetowania hasła na wskazany adres e-mailowy. Po zresetowaniu hasła wystarczyło zalogować się do konta Mata i sprawdzić ostatnie 4 cyfry karty kredytowej, ale tej pierwszej, prawdziwej. Te same 4 ostatnie cyfry karty kredytowej, nazwisko i adres są wystarczające do zresetowania hasła do konta iCloud.

Pewnie gdyby cała historia przydarzyła się zwykłemu Kowalskiemu, który nie ma żyłki dziennikarskiej, nie prowadzi własnego bloga i nie starczyłoby mu motywacji, żeby przeprowadzić dochodzenie jak do tego doszło, o całej sprawie prawdopodobnie byśmy się nigdy nie dowiedzieli. W takim wypadku wszystko uległoby szybkiemu zapomnieniu ze strony Amazonu i Apple, a systemy obu firm pozostałyby podatne na ten sam atak. Nie chodzi nawet o złą wolę czy lekkomyślność wymienionych firm. Skoro procedury zostały opracowane tak a nie inaczej, jako kompromis pomiędzy bezpieczeństwem, a wygodą użytkowników, to znaczy, że projektanci nie przewidzieli takiego zbiegu okoliczności, ani sposobu na ich wykorzystanie. Informacja od jednego z wielu pracowników supportu mogła by nie dotrzeć odpowiednio wysoko, aby wymusić zmiany.

Dzięki temu, że trafiło na Mata Honana, zyskaliśmy wszyscy, jako użytkownicy tych usług i serwisów. Po pierwsze, dowiedzieliśmy się czego się wystrzegać oraz jak ważna jest kopia bezpieczeństwa. Gdzieś zasłyszałem, że użytkownicy dzielą się na tych którzy robią backup i na tych którzy będą go robić… Co jeszcze istotniejsze, obie firmy nie mogły zlekceważyć tak nagłośnionej sprawy. W efekcie powzięły działania, mające za zadanie uszczelnienie zabezpieczeń.

Jak podaje Ars Technica, Amazon usunął lukę bezpieczeństwa i nie zezwala już na wprowadzanie istotnym modyfikacji konta, takich jak zmiana adresu e-mail czy dodanie numeru karty kredytowej, za pomocą rozmowy telefonicznej. Tym sposobem sztuczka z dodaniem nowej, zmyślonej karty, a następnie wykorzystaniem jej do przejęcia kontroli nad kontem przestała działać, co znacząco poprawiło zarówno bezpieczeństwo klientów sklepu, jak i użytkowników urządzeń Apple.

Ze strony Apple sytuacja jest mniej klarowna. Z jednej strony firma stwierdziła, że włamanie było możliwe na skutek pozyskania prywatnych informacji na temat Mata z innych źródeł, co jest zgodne z prawdą, ale nie zmienia faktu, że poleganie na informacjach możliwych do pozyskania z innych źródeł nie jest zbyt bezpieczne. Z drugiej jednak strony, padło stwierdzenie, że wewnętrzne procedury Apple nie były do końca przestrzegane. Trudno powiedzieć co dokładnie ma to oznaczać, ponieważ mat i serwis Wired kilkakrotnie potwierdzili w rozmowach z supportem, że do resetu hasła wystarcza nazwisko, adres i wspomniane 4 ostatnie cyfry karty kredytowej, a całą procedurę przejęcia konta udało się powtórzyć w kontrolowanych warunkach.

Mimo wszystko coś musi być na rzeczy, bo Apple stwierdziło, że jest w trakcie ponownego sprawdzania wszystkich procedur bezpieczeństwa. Dodatkowo, resetowanie hasła za pomocą linii telefonicznej zostało wstrzymane na najbliższe 24 godziny, co ma dać Apple dodatkowy czas na sprawdzenie wszystkich możliwości i usunięcia ewentualnych luk i problemów. Wired ponownie potwierdził tą informację, gdyż tym razem nie udało się zresetować hasła za pomocą telefonu.

Podsumowując, warto mówić o wszelkich problemach z bezpieczeństwem, bo taka wiedza wpływa zdecydowanie korzystnie na nas wszystkich, bezpośrednio uczulając na pewne kwestie i pośrednio oddziałując na duże firmy. Mimo dużych strat, Mat zebrał się w sobie i zrobił to co zrobić powinien, spowodował, że szansa na powtórzenie jego historii znacznie się zmniejszyła i nie powinna spotkać nikogo innego. Dlatego zachęcam wszystkich czytelników, jeśli napotkacie luki bezpieczeństwa, zgłaszajcie je do supportu danego serwisu. Nigdy nie wiadomo komu przydarzy się przykra historia. Spraw bezpieczeństwa w sieci nie warto lekceważyć, nawet jeżeli bezpośrednio nas nie dotyczą, bo nie korzystamy z danego serwisu, albo nie trzymamy na nim wrażliwych danych.