Мир, построенный на паролях, слишком хрупок
История журналиста Мэта Хонана (Mat Honan), связанная со взломом всех его аккаунтов, впечатляет не только своим масштабом, а еще и тем, что даже использование сложных паролей не обезопасит нас от вторжения в нашу цифровую жизнь.
Итак, журналист и блогер Мэт Хонан (Mat Honan) сообщил о том, что несколько его онлайн-аккаунтов были взломаны.
История взлома является демонстрацией того, что никакой пароль не защитит наши данные.
Все началось с того, что хакеры позвонили в компанию Amazon, заявив, что они хотят подключить к своему Amazon-аккаунту новую кредитную карту. В компании просили у пользователя адрес, имя и email, а номер карты они ввели фальшивый, полученный на одном из специализированных сайтов.
Потом позвонив в Amazon повторно, хакер заявил, что потерял доступ к своему Amazon аккаунту. Его попросили предоставить компании имя, адрес и номер кредитной карты. Далее злоумышленник добавил новый email к аккаунту, на который восстановил пароль, получил доступ к аккаунту и узнал частичный номер (последние четыре цифры) настоящей кредитной карты журналиста.
Следующий шаг – обращение к сотрудникам технической поддержки компании Apple с просьбой выдать временный пароль к iCloud. Журналист назвал адрес жертвы, также найденный в открытых источниках и последние четыре цифры кредитки. После этого техподдержка направила временный пароль к его аккаунту на .me-аккаунт.
Дело в том, что хакерам был нужен пароль к Gmail, система предложила восстановить этот пароль через альтернативный адрес m****n@me.com. Зная точный адрес в Gmail — mhonan@gmail.com злоумышленники узнали электронный адрес в me.com, получили к нему доступ, после чего взломали Gmail.
Дальше хакеры меняют пароль к Gmail, что стало возможным в результате отсутствия двухфакторной авторизации, после этого хакеры дистанционно удалили все данные с iPhone и iPad, Macbook Air. Следующий этап — изменение пароля в личном Twitter-аккаунте журналиста, а так как этот аккаунт был связан с Twitter-аккаунтом издания Gizmodo, где Мэт Хонан раньше работал, то о взломе журналисту рассказали читатели Twitter-аккаунта Gizmodo, в котором стали появляться расистские и оскорбительные твиты.
Примечательно, что через несколько дней сотрудники издания Wired повторили весь путь хакера – зная имя и адрес они смогли взломать все перечисленные выше аккаунты.
Описанная методика использует, в частности, элементы социальной инженерии – хакерам удалось обмануть сотрудников служб технической поддержки. В то же время, данные, которые были им нужны для организации всей этой системы взломов, а именно – домашний адрес и электронный адрес были найдены в открытых источниках. По сути, история Мэта Хонана показывает, как можно, зная только электронный адрес пользователя, уничтожить его цифровую жизнь.