Albert, Lipót
3 °C
12 °C

Amazon és Apple, a hekker két segítője

2012.08.07. 23:31

Mint korábban megírtuk, pénteken a Wired újságírója, Mat Honan beszámolt arról, hogy feltörték az Icloud-fiókját, így a támadó távolról törölhette le az összes adatot az Iphone-járól, az Ipadjéről és a Macbook Air-jéről. A hekker ezután a Gmail-fiókjához is hozzáfért, valamint ahhoz a Twitter-profiljához is, amelyet még akkor használt, amikor a Gizmodónál dolgozott.

A sztoriban az a legérdekesebb, hogy a hekkernek nem nagyon kellett bonyolult technikai trükköket és kódtörő programokat bevetnie: egyszerűen az Apple és az Amazon ügyfélszolgálatának biztonsági réseit használta ki. A hekker később felvette a kapcsolatot Honannal (miután az újságíró megígérte neki, hogy nem fordul rendőrséghez), és részletesen elmondta, hogyan történt a feltörés. Honan pedig megírta a tanulságos történetet.

A Phobia nevű hekker egyszerűen annyit tett, hogy összeszedte azokat az információkat, amiket az Apple ügyfélszolgálata kérdez, ha egy azonosítóhoz tartozó jelszót akar módosítani a tulajdonos. Ehhez elég az azonosítóhoz tartozó emailcím, egy bármilyen kártyaszám, számlázási cím és az azonosítóhoz tartozó hitelkártya négy számjegye. Ezekkel felszerelkezve a hekker az ügyfélszolgálatnak eljátszotta, hogy ő a profil tulajdonosa, és új jelszót kért. Ezzel megakadályozta, hogy Honan beléphessen a rendszerbe, de a hekker vígan garázdálkodhatott.

Egy hitelkártyának azt a négy számjegyét, amit az Apple kér azonosításra, könnyű megszerezni, mert ez éppen az a négy számjegy, amit Amerikában kártyás fizetés után a blokkokon nem takarnak ki. Pikáns és fontos részlet azonban, hogy a hekker nem így jutott az érzékeny információhoz, hanem az Amazon ügyfélszolgálatán keresztül, aminek eszerint szintén komoly biztonsági rései vannak. Phobia ugyanis eljátszotta, hogy ő Honan, aki egy újabb hitelkártyaszámot akar az azonosítójához társítani, majd egy második telefonhívás során már a társított új hitelkártyaszámmal azonosítva magát egy új emailcímet is a profilhoz adott, és ezt az emailcímet használva fért hozzá Honan valódi adataihoz.

A történetben a legsokkolóbb az, hogy bár az Apple elismerte, hogy az azonosítás folyamata lehetővé tesz ilyen visszaéléseket, a cég nem tervezi, hogy szigorítaná az ügyfélszolgálatra betelefonálók biztonsági ellenőrzését. Az Amazon egyelőre nem nyilatkozott az ügyben.

Köszönjük, hogy minket olvasol minden nap!

Ha szeretnél még sokáig sok ilyen, vagy még jobb cikket olvasni az Indexen, ha szeretnéd, ha még lenne független, nagy elérésű sajtó Magyarországon, amit vidéken és a határon túl is olvasnak, akkor támogasd az Indexet!

Tudj meg többet az Index támogatói kampányáról!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?