16:21
8/8/2012

Pamiętacie horror story dziennikarza Wired/Gizmodo, któremu ktoś zdalnie skasował dane z Macbooka, iPhone’a, przejął konto na Twitterze i skasował skrzynkę na GMailu? Okazuje się, że winnym jest nie tylko pracownik infolinii Apple (który, jak oświadczyło Apple nie podążął za wszystkimi procedurami), ale również beznadziejne procedury Amazonu…

Amazon pozwolił zaatakować Apple

W opisywanym przez nas kilka dni temu przypadku, wszystko zaczęło się od ataku socjotechnicznego na pracownika infolinii Apple, którego efektem był reset hasła do konta Mata Honana, dziennikarza Wired i Gizmodo. Jak dokładnie wyglądał atak? Phobia (to nick hackera), poprosił o reset hasła do konta dziennikarza Mata, podszywając się pod niego, a Apple w tym celu wymagało podania jedynie 4 ostatnich cyfr numeru karty kredytowej i adresu płatnika (ang. billing address). Mat zauważa, że te dane ma nawet jego 16-letni dostawca pizzy…

iCloud + Amazon = Hacked GMail & Twitter

iCloud + Amazon = Hacked GMail & Twitter

Amazon pomaga resetować hasła do kont AppleID/iCloud

Skąd Phobia miał 4 ostatnie cyfry numeru karty kredytowej Mata oraz jego adres? Z Amazonu. Jak je zdobył? A tak:

    1. Z konta Twitterowego Mata, które chciał przejąć trafił (poprzez link w profilu) na domową stronę Mata. Sprawdził dane w WHOIS i poznał adres Mata, który jest właścicielem domeny.
    2. Na stronie Mata znalazł też jego adres e-mail i zadzwonił do Amazonu, prosząc o dodanie kolejnej karty kredytowej do konta ofiary. Procedura Amazonu wymagała podania jedynie adresu przypisanego do konta (ten z bazy WHOIS pasował). Atakującemu udało się dodać nowy numer karty kredytowej do konta ofiary.
    3. Atakujący kolejny raz zadzwonił do Amazonu i poprosił tym razem o reset hasła do konta. Jaka jest procedura Amazonu w takim przypadku? Amazon prosi o numer karty kredytowej (a dokładniej dowolnej karty skojarzonej z kontem). Atakujący podał numer, który dodał do konta ofiary w kroku 2.
    4. Po zresetowaniu hasła i zalogowaniu się na Amazonowe konto Mata, atakujący mógł zobaczyć w ustawieniach …cztery ostatnie cyfry pierwszej, oryginalnej, dodanej przez Mata karty kredytowej.

Mając te 4 cyfry zadzwonił do Apple i zresetował hasło do konta iCloud Mata. Mając dostęp do iCloud, odzyskał hasło do GMaila (adres iCloudowy podany był jako backup e-mail). Mając konto do GMaila, przejął konto Mata na Twitterze (po drodze kasując dane ze skojarzonych z kontem iCloudowym urządzeń). Okazało się, że konto Mata było zlinkowane z Twitterem Gizmodo, a więc atakujący mógł wysyłać swoje twity jako Gizmodo. GAME OVER.

To by nie wyszło, gdyby…

Atak zapewne nie udałby się gdyby ofiara, techniczny dziennikarz Wired/Gizmodo, ukrył swoje dane w bazie WHOIS (można to zrobić w Polsce dla wszystkich domen zarejestrowanych na osoby prywatne). Dodatkowo pomogłoby używanie różnych kart kredytowych dla różnych płatników, ale taka usługa “aliasów” dla kart kredytowych chyba na polskim rynku nie jest (jeszcze?) świadczona przez żaden bank…

Przede wszystkim jednak, cały atak nie miałby miejsca, gdyby nie błędy logiczne w telefonicznych procedurach resetu hasła Amazonu i dość luźne wymagania co do telefonicznego resetu hasła w Apple. Na chwilę obecną Amazon poinformował, że uniemożliwił już tego typu postępowanie, a Apple czasowo wyłączyło reset hasła przez telefon.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. Zamiast “aliasów” do kart mogą posłużyć karty dodatkowe, wydane do tego samego konta. Ewentualnie można też korzystać z kart wirtualnych.

    • Albo kart prepaidowych. W USA jest sporo dostawców kart wirtualnych i prepaidowych. Część z nich pewnie jest darmowa lub bardzo tania.

  2. Obawiam się, że jakby się dobrze postarać, to takie numery (może trochę trudniejsze w realizacji) w mbanku przejdą. Mam wrażenie, że tam przez telefon można za dużo zmienić (np. numer dowodu).

    • W starym mBanku była dziura umożliwiająca zmianę numer
      dowodu przez stronę www, przy składaniu lokaty czy jakiegoś wniosku
      ;) Wiem, bo mi wpisali zamiast 3 pierwszych liter 2 i cyfrę, przez
      co nie mogłem złożyć, pogrzebałem chwile w stroncę, poprawiłem zero
      na “O” i puściłem. Jeszcze mi później grzecznie przysłali
      powiadomienie o zmianie dowodu ;)

  3. może w ten sposób dałoby się zdjąć stronę na przykład natanka?

  4. Punkty 2 i 3 rozwaliły system :X

  5. Mhm. Atak socjotechniczny to zdecydowanie za baaaaardzo przemądrzałe i przesadzone określenie na “zadzwonił i poprosił”.

    • Było to działanie które wpłynęło na decyzję osoby po drugiej stronie słuchawki? Było, a więc był to pewnego rodzaju atak socjotechniczny, a że bez wodotrysków, no to trudno. Szybko pewnie nie usłyszymy o takich atakach jak te z biografii K.Mitnicka ;|

  6. Gdyby to był jakiś zwykły szaraczek, a nie techniczny dziennikarz pewnie nie byłoby o tym tak głośno i żadnych działań ze strony amazon ani apple byśmy nie uraczyli. Ciekawe ile przed całym nagłośnieniem było ofiar tego typu ataku.

    • Gdyby to był zwykły szaraczek, to… nikomu by się nie chciało takiego ataku przeprowadzać – bo i po co?

    • Piotr – z tego co pisal, to uderzyli w niego bo mial ‘fajne’ konto twitterowe – 3 literowy login z tego co pamietam – a nie dlatego ze byl dziennikarzem gizmodo :)

  7. Problem jest w tym, że także w Polsce dane osób prowadzących działalność gospodarczą (i zarejestrowaną w domu) są na wyciągnięcie ręki z Whois.

  8. Cztery ostatnie cyfry? Przecież to na każdym wydruku czy dokumencie jest…

  9. Wzorem facebooka narobili tych pomysłów na ochronę konta… Polecam spróbować przejąć dowolne konto fb, świetna zabawa.

    Natomiast GMaila można przejąć bez problemu wchodząc w opcje zadawania pytań. Wystarczy poznać nieco ofiarę i wyprodukować aktywność o którą będą pytać.

  10. Trzeba blokować dostęp telefoniczny tm gdzie się da – tam gdzie się nie da powinni wprowadzić żeby się dało :-)
    Czasem tylko są jaja np w Inteligo lub Toyota Banku jak dostęp telefoniczny zablokowałem a aktywacja nowej karty tego wymaga.

  11. Smok

    Dlatego najlepiej w pytaniu pomocniczym używać w odpowiedzi kolejnego hasła czy to własnego uniwersalnego dla mało ważnych kont, czy różnych dla super mega hiper ważnych kont, a nie prawidłowej odpowiedzi typu „Jaki jest Twój ulubiony kolor” – „różowy” .

    Wiem, wiem… mija się to z celem takiego ułatwienia jak pytania pomocnicze, ale jeśli ktoś trochę myśli i ceni swoje bezpieczeństwo to tak postąpi…

    • Dokładnie, po co silić się na silne hasło w takim wypadku? A najgorsze są serwisy w których pytania wybierasz z dropdownlist. A wszystkie w stylu “Kolor Auta”, czy “Imię Matki”. Przecież to jest Security Fail!

    • Pablito: ale na pytanie o kolor auta możesz zawsze wpisać jako odpowiedź “nazwę kwiatka”, albo nawet losowy ciąg znaków. Kwestia tylko by to wszystko spamiętać…

  12. @smok – to jest super pomysł, nie wiem dlaczego sam na to wcześniej nie wpadłem.
    Zastosuję go ponieważ wszystkie moje hasła pamięta KeePass, a jakby ktoś mi konto zablokował to moje pytanie pomocnicze od dziś będzie “hasło rezerwowe” – oczywiście maks długie i losowe, zapamiętane przez KeePass :-)

  13. […] powinna być wyłączona, ale w niektórych przypadkach tak się nie dzieje, co umożliwia osobie która przejmie nasze konto AppleID, uzyskanie dostępu do zaszyfrowanych danych (w większości przypadków, dzięki sudo, na poziomie […]

  14. @Paweł: W Polsce można za 1zł kupić karty internetowe prepaid bez plastiku bzwbk na Allegro. Za 10zł w każdym oddziale bzwbk można kupić karty prepaid z plastikiem do portfela także do wypłat z bankomatu. Przy pierwszym użyciu pobierana jest opłata 5zł. Karta ważna kilka lat i żadnych więcej opłat za leżenie karty. To jest nawet tańsze niż “konto dla młodych” w PKO, jeżeli chce się dać dziecku konto na kolonie do szybkiego wsparcia/do Allegro. Ma się IBAN i może przyjmować przelewy, ale nie wykonywać nowych.
    W serwisie internetowym prepaid.bzwbk.pl można podpiąć do 1konta 10 kart i mieć ładne zestawienie środków na wszystkich kartach. Nie można przelewać między kartami. To nie aliasy, ale rozdrobnienie. Konieczny już o tym mówił :)

  15. Ale ja powyżej nie mówię o pytaniach pomocniczych etc

    GMail posiada opcję:
    Nie masz dostępu do żadnej z tych opcji odzyskiwania? Zweryfikuj swoją tożsamość, odpowiadając na kilka pytań dotyczących konta.

    I tutaj można rąbnąć :) Nie jest to proste, bo potrafią zrobić opóźnienie 3 dniowe, żeby ewentualnie ofiara mogła zareagować, ale w większości przypadków trwa to o wiele krócej, noc wystarczy.

    To jest właśnie zerżnięte z facebooka. FB pyta o identyfikację osób na zdjęciu itp a GMail o to z kim się korespondowało, kiedy logowania itp

    • To Facebook zerznął z Google+, nie odwrotnie ;)

  16. […] Nie znamy na tyle dobrze rozwiązań stosowanych przez Apple (sam producent nie udostępnia dokładnej specyfikacji), żeby móc stwierdzić, że dane przechowywane w iCloud są szyfrowane w sposób uniemożliwiający dostęp osób trzecich (w transferze z/na serwery zapewne są szyfrowane). Kluczowym pytaniem jest zatem kto trzyma klucze do składowanych w chmurze danych? Na takie pytanie Apple powinno odpowiedzieć: “tylko użytkownik może rozszyfować swoje dane”. Ale dokładnie to samo mówił do niedawna Dropbox, dopóki nie udowodniono, że Dropbox kłamał, a jego pracownicy mogą rozszyfrować dane użytkowników. Na tym problemy chmury Dropboksa się nie skończyły, bo firma miała kilka innych wpadek bezpieczeństwa: umożliwiała logowanie się na konta użytkowników bez znajomości hasła, w niezbyt bezpieczny sposób przechowywała część danych prywatnych swoich klientów (i dane te wykradziono). Zresztą krytykowana przez posła Jońskiego chmura Apple też miała problemy — przy odrobinie social engineeringu dało się włamać na konto iClouda i przejąć kontrolę nad wszystkimi iPadmi, iPhonami, laptopami użytkownika, które były spięte z …. […]

  17. […] i e-mail ofiary, aby móc telefonicznie ustanowić nowe hasło do konta. Potem okazało się, że w podobny sposób można zresetować hasła na Amazonie i iCloudzie… Wystarczyły telefony i dobra […]

  18. […] A tak przynajmniej twierdzi @blanket, któremu właśnie nieznani sprawcy gwizdnęli konto. Zhackowany użytkownik Twittera wskazuje na mechanizm resetu hasła jako element, w którym znajduje się “poważna dziura”. I nie chodzi tu o historię sprzed paru tygodni, kiedy do ataku na Twittera wykorzystano konta ofiary na Amazonie i w Apple. […]

  19. […] dwuskładnikowego uwierzytelnienia na swoim koncie, warto to zrobić. Pamiętajcie, żę osoba, która przejmie kontrolę nad Waszym kontem Appple może sporo namieszać […]

  20. […] “resetu” hasła telefonicznego). Wystarczy porównać ostatnie ataki socjotechniczne na Apple CloudID oraz Twittera aby docenić jak wielkim ułatwieniem mogą być dodatkowe dane na temat danej […]

  21. […] Za zmianą numeru dodatkowo przemawia fakt, że jest on często uważany za tzw. “sekret”, i bywa obok np. nazwiska panieńskiego matki, wykorzystywany w procedurach resetu haseł w serwisach internetowych — jego znajomość może więc pomóc we włamaniach na konta dziennikarzy – takie ataki miały już miejsce, kilka miesięcy temu opisywaliśmy na łamach Niebezpiecznika historię Mata Honana, dziennikarza Wired, któremu przejęto kontrolę nad komputerem i telefonem. […]

  22. […] I choć czytelnikom Christophera nie udało się włamać na jego konto, to przypomnijmy, że dwuskładnikowe uwierzytelnienie nie raz zostało już ominięte — albo na skutek błędów w jego implementacji, jak to było w przypadku PayPala, Apple oraz GMaila (nawet dwukrotnie) albo przy pomocy ataków socjotechnicznych mających na celu resetowanie haseł, co pięknie zobrazował atak na innego dziennika, Mata Honana z Wired, któremu nastolatek włamał się na konta na Twittterze, Amazonie i Apple, oraz zdalnie skasował dane z laptopa i telefonu. […]

  23. […] Warto tu wspomnieć, że dane kartowe wykorzystać można nie tylko do bezpośredniej płatności, ale również do przejęcia kont internetowych, z którymi karta była skojarzona — por. Jak Amazon pomógł zhackować Apple i dlaczego dzikarzowi skasowano przez internet zawartość lapt…. […]

  24. […] zresetowanie hasła. Można tego dokonać poprzez wykorzystanie różnych zależności pomiędzy różnymi kontami tej samej osoby i umiejętne omamienie albo formularzy do resetu zapomnianych haseł, albo personelu, jeśli dany serwis posiada infolinię — w ten sposób przejmuje się konta Apple i Amazona. […]

  25. […] …a to nie pozwoli wykonać transakcji w czyimś imieniu. Ale być może pomoże w resecie hasła do np. Amazonu, poprzez ułatwienie procedury resetu hasła? (por. Jak Amazon pomógł zhackować konto Apple) […]

  26. […] warto przywołać podobną historię z Amazona, która umożliwiła przejęcie komputerów Apple jednego z dziennikarzy oraz historię Cloudflare, gdzie od włamania na skrzynkę prezesa atakujący doszedł do […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.