Hlavní navigace

Sběr osobních údajů aneb jak se hackuje Apple přes Amazon

7. 8. 2012 23:12 (aktualizováno) Petr Krčmář

Novináři Matu Honanovi se stala zajímavá věc, někdo se mu nabořil do účtu u Apple. Důkaz, že sociální inženýrství stále velmi dobře funguje.

Dnes ráno za mnou byli lidé z České televize a točili se mnou krátký rozhovor k případu, kdy si člověk chtěl nechat zablokovat nedostupný účet na Seznamu a firma mu odpověděla, že na to chce soudní příkaz. „Pochopitelně, protože pokud nemají jak toho člověka s účtem spojit, může se za něj někdo vydávat.“

Střih.

Před pár dny mi napsal čtenář, že má na Rootu účet a že zapomněl heslo a původní registrační e-mail už nemá, neb změnil práci. Napsal jsem mu, že to je problém, protože v profilu nemá ani žádnou URL a další informace, podle kterých by mohl dokázat vlastnictví účtu. „Pokud bychom jen tak na vaši žádost změnili údaje, riskujeme tím velmi nepříjemný problém,“ napsal jsem mu.

Střih.

Že to je reálný problém, dokazuje případ Mata Honana, kterému někdo zaútočil na různé účty včetně toho u Apple a přes službu iCloud mu promazal data na MacBooku, iPadu a iPhone. Navíc napáchal ještě další škody, protože mu smazal účet na Google a sebral Twitter účet. Vtipné je, že se mu útočník ozval a popsal mu způsob, jakým se mu to podařilo. Nešlo o žádný sofistikovaný útok na systémy Apple, ale o klasické sociální inženýrství.

Celý případ popisuje Wired a vyplývá z něj, že klasické ověření identity podle osobních údajů je velmi slabý bezpečnostní proces, který může velmi snadno selhat.

Klíčovým prvkem v útoku byl účet ke službě Apple iCloud (dřív se to jmenovalo MobileMe), což je cloudová služba, kam si zařízení jablečné firmy ukládají informace a je možné přes ni třeba tato zařízení sledovat a v případě odcizení i vymazat. Útočník si zjistil, co bude potřebovat, aby mu Apple vydal účet, ke kterému uživatel nezná heslo. Jsou k tomu potřeba poslední čtyři číslice platební karty a billingová adresa. Předpokládá se, že to jsou osobní údaje, které si člověk dobře chrání.

Útočník ale zkusil zavolat do Amazonu a představil se jako Honan. Chtěl po operátorovi přidat ke svému účtu další platební kartu. S tím neměla firma problém a přidání karty proběhlo bez řečí a stačilo ověření základních osobních údajů jako jméno a poštovní adresa. Tu zjistil ve whois záznamu Honanovy osobní domény. Samozřejmě existuje několik dalších metod, jak to provést.

Poté zavolal znovu do Amazonu a dovolal se jinému operátorovi. Tomu řekl, že přišel o heslo a nechal se ověřit pomocí karty, kterou před chvílí přidal do systému. V tu chvíli mu operátor k účtu umožnil přidat další e-mailovou adresu, na kterou si pak sám útočník nechal poslat náhradní heslo. V tu chvíli byl v účtu Amazonu a přečetl si údaje o dvou platebních kartách, včetně posledního čtyřčíslí té neznámé.

Pak bylo možné zavolat do Apple a získat přístup, protože útočník měl všechny potřebné osobní údaje oběti. Útočníkovi se takto podařilo reálně zlikvidovat jednomu člověku celý jeho digitální život, jak sám novinář napsal. Dokazuje to, že spousta osobních údajů se dá velmi lehce vypátrat a zneužít a pokud je rozdáme více různým firmám, může z toho být velký průšvih.