Apple pustio hakere u iCloud

Nesretni korisnik ostao je bez podataka na više uređaja nakon što su hakeri uspjeli prevariti Appleovu korisničku službu i dobiti njegovu lozinku za pristup servisu za računalstvo u oblaku.

Matu Honanu, piše Forbes, hakeri su upali u korisnički račun na iCloudu i obrisali podatke s njegovog iPhonea, iPada i MacBooka. Isprva se pretpostavljalo da su isprobavali različite lozinke dok nisu pogodili pravu. No ispostavilo se da je pristup računu nesretnog Mata omogućio ni manje ni više već sam Apple.

Uspjeli su, naime, prevariti korisničku podršku jabučara i navesti ih da im daju lozinku, a pritom su zaobišli odgovore na sigurnosna pitanja koja služe za provjeru i potvrdu identiteta.

Nažalost, nema pouzdane zaštite od takvih ciljanih napada. Možete imati zaporku koju je super teško otkriti i lukava sigurnosna pitanja, ali ako haker uspije nasamariti osobu u korisničkoj podršci, svaka zaštita nije jača od kule u pijesku.

Ljude se može prevariti. Događa se, svaki dan. No problem je to što servisi u računalnom oblaku poput iClouda omogućavaju pristup dokumentima, fotografijama, povjerljivim i privatnim informacijama, kao i brisanje podataka na uređajima izdaleka. Apple i drugi koji pružaju takvu uslugu moraju imati strožu kontrolu načina na koje korisnici mogu zaobići sigurnosna pitanja.

PS

Detaljnije

Hakerski upad u korisnički račun Wiredovog novinara Mata Honana na Appleovu servisu Cloud natjerao je tvrtku iz Cupertina - ali i Amazon - na promjenu sigurnosnih politika.

Podsjećamo, vješti je haker uspio prevarom navesti djelatnika Appleove korisničke podrške da mu omogući pristup Honanovom korisničkim računima za e-poštu i AppleID. Potom je obrisao podatke na Honanovom iPhoneu, iPadu i MacBooku, nastojeći se dokopati pristupa korisničkom računu na Twitteru, koji ma samo tri slova (@mat).

Nakon što je povratio kontrolu nad svojim digitalnim identitetom u Appleovoj domeni, Honan je uspio popričati s jednim od hakera, koji se predstavlja kao Phobia. Od njega je doznao kako su hakirali njegov korisnički račun. 'Iskreno, možeš upasti u bilo koji e-mail povezan s Appleom', pohvalio se Phobia Honanu, prenosi CNET.

Kako su hakeri prvotno namjeravali upasti u Honanov Twitter, prvo su pogledali njegov korisnički račun na mikrobloging servis i pogodili adresu na Gmailu. Nije imao aktiviranu dvostupanjsku identifikaciju, pa su se uspjeli dokopati njegove pomoćne adrese, koja je ujedno bila i AppleID.

Idući koraci bili su razmjerno jednostavni. Kako bi došli do pristupa AppleID-u, Phobia i njegov partner morali su pribaviti zadnja četiri broja Honanove kreditne kartice.

To su obavili uz pomoć Amazona. Nazvali su njihovu korisničku podršku i dodali lažni korisnički račun za kreditnu karticu. Potom su ponovno nazvali Amazon i rekli im kako su izgubili lozinku.

Dali su lažni broj kreditne kartice i tako dodali novi korisnički račun za e-poštu, što im je omogućilo uvid u zadnja četiri broja Honanove kreditne kartice. Zatim su nazvali AppleID i upotrijebili broj kreditne kartice, kao i Honanov rođendan (našli su ga guglajući) kako bi dobili privremenu lozinku. S time su upali u Gmail i Twitter.

Mada je Honan uspio doći ponovno u posjed svog korisničkog računa, podaci - uključujući fotografije koje su njegova djeca pohranila na njegovom laptopu - vjerojatno su nepovratno izgubljeni.

Zbog ovog incidenta Amazon i Apple mijenjat će sigurnosne politike. Amazon više ne podržava telefonsku promjenu postavki korisničkih računa. Apple još razmišlja što će napraviti, ali je do daljnjega zamrznuo sve telefonske zahtjeve za promjenu lozinki za AppleID.

Hakeri su, čini se, uspjeli u svom naumu - sigurnosni propusti dvije velike tvrtke objavljeni su, pa će ih morati popraviti. No, uz koju cijenu? Zamislite da ste izgubili sve osobne podatke, kao i pristup svojim uređajima. Može se to dogoditi i vama, ako ste sve podatke pohranili u računalni oblak koji nije dovoljno osiguran.

Da je bila aktivirana dvostupanjska zaštita za pristup Gmailu, hakeri vjerojatno ne bi uspjeli. Stoga bi bilo mudro uključiti je za servise u oblaku.

Što znači ova dvostupanjska zaštita?

Ma dajem ja svima svoj broj, nema tko ga nema, Google je bio među prvima, a ova opcija mi je promakla, već vidim da će mi biti malo zamorno, ali naviknut ću se. 

Danke!

P.S. - Posebno zbog Steama, ovo + Steam Guard, pih.

Da kao i Steam, samo što ja browsam u incognito modeu, vjerojatno će tražiti ali ne smeta.

Social engineering hacking je isto vrsta hackiranja

Bitno je da se Apple spomene.  

Koliko vidim najveci krivac ovdje je Amazon. Ne samo da spremaju brojeve kreditnih kartica, nego ih jos i daju okolo... Svasta...

A i taj tip je bas bistar kad ima varijantu imena/prezimena u svim accountima, i to jos istu...

Uz to ostavlja svoje prave podatke po webu:

"He got the billing address by doing a whois search on my personal web domain"

Ime/prezime, adresa, brojevi telefona, to su podaci koji ne smiju biti javni, inace se dogadjaju ovakve stvari...

Barem dok se neki haker ne bi dosjetio nazvati Googlovu sluzbu za korisnike, dati velicinu lijevog stopala i prijaviti kradju mobitela...

 Misim da nije problem u ljudima, rade svoj posao. Problem je sto za ovakve napade nema prave zastite. Uvijek postoji mogucnost da zaboravis lozinku, izgubis ili ti netko ukrade racunalo/mobitel, a ti nekako moras doci do svojeg racuna i podataka. Kod ozbiljnih stvari (npr. banka), u slucaju gubitka kartice/tokena odes na salter i pokazes teti osobnu (a i to se zna krivotvorit, samo je to puno ozbiljniji zlocin i kazne su puno vece). Kod online usluga nemas tu mogucnost... zasad...