Bence
10 °C
25 °C

Amazon és Apple, a hekker két segítője

2012.08.07. 23:31

Mint korábban megírtuk, pénteken a Wired újságírója, Mat Honan beszámolt arról, hogy feltörték az Icloud-fiókját, így a támadó távolról törölhette le az összes adatot az Iphone-járól, az Ipadjéről és a Macbook Air-jéről. A hekker ezután a Gmail-fiókjához is hozzáfért, valamint ahhoz a Twitter-profiljához is, amelyet még akkor használt, amikor a Gizmodónál dolgozott.

A sztoriban az a legérdekesebb, hogy a hekkernek nem nagyon kellett bonyolult technikai trükköket és kódtörő programokat bevetnie: egyszerűen az Apple és az Amazon ügyfélszolgálatának biztonsági réseit használta ki. A hekker később felvette a kapcsolatot Honannal (miután az újságíró megígérte neki, hogy nem fordul rendőrséghez), és részletesen elmondta, hogyan történt a feltörés. Honan pedig megírta a tanulságos történetet.

A Phobia nevű hekker egyszerűen annyit tett, hogy összeszedte azokat az információkat, amiket az Apple ügyfélszolgálata kérdez, ha egy azonosítóhoz tartozó jelszót akar módosítani a tulajdonos. Ehhez elég az azonosítóhoz tartozó emailcím, egy bármilyen kártyaszám, számlázási cím és az azonosítóhoz tartozó hitelkártya négy számjegye. Ezekkel felszerelkezve a hekker az ügyfélszolgálatnak eljátszotta, hogy ő a profil tulajdonosa, és új jelszót kért. Ezzel megakadályozta, hogy Honan beléphessen a rendszerbe, de a hekker vígan garázdálkodhatott.

Egy hitelkártyának azt a négy számjegyét, amit az Apple kér azonosításra, könnyű megszerezni, mert ez éppen az a négy számjegy, amit Amerikában kártyás fizetés után a blokkokon nem takarnak ki. Pikáns és fontos részlet azonban, hogy a hekker nem így jutott az érzékeny információhoz, hanem az Amazon ügyfélszolgálatán keresztül, aminek eszerint szintén komoly biztonsági rései vannak. Phobia ugyanis eljátszotta, hogy ő Honan, aki egy újabb hitelkártyaszámot akar az azonosítójához társítani, majd egy második telefonhívás során már a társított új hitelkártyaszámmal azonosítva magát egy új emailcímet is a profilhoz adott, és ezt az emailcímet használva fért hozzá Honan valódi adataihoz.

A történetben a legsokkolóbb az, hogy bár az Apple elismerte, hogy az azonosítás folyamata lehetővé tesz ilyen visszaéléseket, a cég nem tervezi, hogy szigorítaná az ügyfélszolgálatra betelefonálók biztonsági ellenőrzését. Az Amazon egyelőre nem nyilatkozott az ügyben.