Av
I fredags skrev vi om Mat Honan, före detta skribent på Gizmodo som numera skriver för Wired, och hur hans liv på nätet vändes ut och in av ett hackergäng som kommit över hans iCloudkonto. Redan i fredags framkom det att det inte alls handlade om ett datorbaserat hack utan att bedragarna hade kommit över Honans lösenord via Apples support, och nu har Honan själv skrivit en detaljerad rapport i Wired över hur det hela gick till.
Det lyckade intrånget i samtliga Honans viktiga nätkonton, iCloud, Gmail och Twitter – samt Amazon – kom sig av en märklig kombination av säkerhetsåtgärder hos framför allt Apple och Amazon.
Hackarna fick Apples support att lämna ut ett tillfälligt, nytt, lösenord till hans iCloudkonto genom att först misslyckas med att svara på de två säkerhetsfrågor som alla som skapar ett konto måste fylla i, och att därefter korrekt ange hans adress och de fyra sista siffrorna i hans kreditkortsnummer. Adressen var lätt att hitta eftersom Honan är en offentlig figur, men hur fick de tag i kreditkortsnumret?
Det är här kombinationen av olika säkerhetsåtgärder blev till ett såll.
Jo, Amazon har ett annat sätt än Apple att hantera sina kunders säkerhet. Om du har glömt ditt lösenord kan du ringa supporten och ange namn, adress och kreditkortsnummer så får du lägga till en ny e-postadress till ditt konto och du kan sedan skicka en ”nollställ lösenordet”-länk till den adressen. Men hur kan du veta kreditkortet? Enkelt, du ringer till Amazons support och säger att du vill lägga till ett nytt kreditkort, och anger då namn, e-postadress och hemadress. Gör det i omvänd ordning så har du precis gett dig kreditkortsnumret du behöver för att få lägga till din egen e-postadress.
Väl inne i Honans Amazon-konto var det bara att kolla upp hans kreditkort. Amazon är smarta och visar inte hela numren – bara fyra sista siffrorna precis som på många kassakvitton runt om i världen – men vilka siffror var det nu Apples support bad om för att ge ut ett tillfälligt lösenord? Just det, de fyra sista.
När hackarna väl var inne i Honans iCloudkonto satte hela proceduren igång – hans Gmail raderades, hans iPhone, iPad och Macbook Air fjärraderades, och till sist togs hans Twitterkonto över, vilket var självs syftet med hela attacken skulle det visa sig. På grund av att det var ett kort och snyggt användarnamn.
Honan har, sedan historien började, hört från flera mer normala användare som också drabbats av samma hackmetod, så vi får hoppas att Apple och Amazon tar tag i sin säkerhet, och det illa kvickt nu när hela världen känner till hacket.
Det lyckade intrånget i samtliga Honans viktiga nätkonton, iCloud, Gmail och Twitter – samt Amazon – kom sig av en märklig kombination av säkerhetsåtgärder hos framför allt Apple och Amazon.
Hackarna fick Apples support att lämna ut ett tillfälligt, nytt, lösenord till hans iCloudkonto genom att först misslyckas med att svara på de två säkerhetsfrågor som alla som skapar ett konto måste fylla i, och att därefter korrekt ange hans adress och de fyra sista siffrorna i hans kreditkortsnummer. Adressen var lätt att hitta eftersom Honan är en offentlig figur, men hur fick de tag i kreditkortsnumret?
Det är här kombinationen av olika säkerhetsåtgärder blev till ett såll.
Jo, Amazon har ett annat sätt än Apple att hantera sina kunders säkerhet. Om du har glömt ditt lösenord kan du ringa supporten och ange namn, adress och kreditkortsnummer så får du lägga till en ny e-postadress till ditt konto och du kan sedan skicka en ”nollställ lösenordet”-länk till den adressen. Men hur kan du veta kreditkortet? Enkelt, du ringer till Amazons support och säger att du vill lägga till ett nytt kreditkort, och anger då namn, e-postadress och hemadress. Gör det i omvänd ordning så har du precis gett dig kreditkortsnumret du behöver för att få lägga till din egen e-postadress.
Väl inne i Honans Amazon-konto var det bara att kolla upp hans kreditkort. Amazon är smarta och visar inte hela numren – bara fyra sista siffrorna precis som på många kassakvitton runt om i världen – men vilka siffror var det nu Apples support bad om för att ge ut ett tillfälligt lösenord? Just det, de fyra sista.
När hackarna väl var inne i Honans iCloudkonto satte hela proceduren igång – hans Gmail raderades, hans iPhone, iPad och Macbook Air fjärraderades, och till sist togs hans Twitterkonto över, vilket var självs syftet med hela attacken skulle det visa sig. På grund av att det var ett kort och snyggt användarnamn.
Honan har, sedan historien började, hört från flera mer normala användare som också drabbats av samma hackmetod, så vi får hoppas att Apple och Amazon tar tag i sin säkerhet, och det illa kvickt nu när hela världen känner till hacket.
