Včera jsem psal o problémech, do kterých se dostal Mat Hanon díky tomu, že se někdo dostal do jeho účtu u iCloudu. Dnes zveřejnil podrobnější informace, jak se to stalo. Vzhledem k tomu, že se jedná o velmi poučné čtení, rozhodně doporučuji. Pro ty, co si nechtějí počíst v angličtině, zde jsou stručné informace z článku na wired.com.
Hacker postupoval následovně:
- Hackerovi se líbila krásná třípísmenná adresa na twitteru. Podíval se tedy kdo ji vlastní.
- Na webových stránkách, které dostal z twitterové adresy zjistil emailový účet na googlu.
- Na googlu zkusil vyžádat reset hesla, přičemž zjistil hned dvě věci. a) Mat neměl dvou-faktorovou autorizaci b) email pro reset se odesílá na adresu m****n@me.com, přičemž věděl, že Mat má také adresu mhonan (at) google (tečka) com. Domyslet si jak vypadá adresu u me.com nevyžaduje žádného génia.
- Mat nakupoval u Amazonu (to není nic neobvyklého, jedná se o jeden z největších elektronických obchodů). Hacker zavolal na hotline Amazonu, že potřebuje přidat informace z kreditky do účtu (účet u amazonu má tvar emailové adresy, hádejte jakou Mat použil.) Na čísla kreditních karet existují generátory, které neodhalí běžná kontrola (je tím myšleno to, že se běžně kontrolují takové čísla podle toho, zda je ciferný součet dělitelný nějakým číslem, podobně jako je u nás možné tímto způsobem ověřit rodné číslo od roku 1954). Toto číslo fiktivní kreditky bylo vloženo do účtu u Amazonu
- Dalším krokem bylo, že se hacker "autorizoval" u Amazonu znalostí emailu a právě vloženým číslem kreditky. Tím získal přístup k účtu Amazonu a dozvěděl se něco nového. Poslední 4 čísla kreditní karty Mata a také jeho adresu (pokud ji už nezjistil z jiných zdrojů, jako např. z webové stránky)
- Zavolal na technickou podporu Apple s tím, že zapomněl heslo a návodné otázky. Apple jej autorizoval tím, že znal správnou adresu a poslední 4 čísla z kreditní karty.
- Změna hesla účtu @me.com umožnila vybírat poštu a resetovat heslo u twitteru a gmailu.
- Jeden z hackerů pak pro zábavu smazal Matovi iPhone, iPad i MacBook pomocí služby Find My iPhone.
Poučení z tohoto případu
Přestože hackeři mohli provést mnohem více, spokojili se s převzetím účtu a vymazáním všech dat. Ve své podstatě mel Mat Hanon docela štěstí. Na druhou stranu, jen díky tomu, že slepě věřil hardware a iCloudu si nezálohoval žádná data. Kdyby použil alespoň Time Machine, nemuseli by specialisté dolovat jeho data ze smazaného pevného disku. (Ztratil tak 1,5 roku fotografií své dcery).
Poučení 1: Zálohujte si svá data, nikdy nevíte jestli vám nespadne disk či vám data někdo nesmaže.
Prvním krokem hackera bylo zjištění emailové adresy. Je zřejmé, že emailová adresa slouží především ke komunikaci a je hloupost předpokládat, že se můžete ochránit tím, že nikde nebudete zveřejňovat svou emailovou adresu, to by vám pak nikdo nepsal a email by byl k ničemu.
Poučení 2: Neuvádějte emailovou adresu na webových stránkách a pokud ji uvádíte, neuvádějte alespoň svou emailovou schránku, ale použijte emailový alias, který vám poštu přeposílá.
Na stránkách google máte možnost zvolit vícefaktorovou autorizaci, například pomocí mobilního telefonního čísla a emailu. Osobně se domnívám, že svěřovat své telefonní číslo cizí organizaci není také příliš optimální řešení, ale co se dá dělat. (Teoreticky hrozí, že vám kromě emailového spamu bude chodit i mobilní spam)
Poučení 3: Jestliže můžete, snažte se používat komplexnější možnosti autorizace např. email + elektronický klíč, kalkulačka. Telefon není příliš optimální řešení, ale v případě googlu bych ho asi spíše doporučil.
Amazon je populární zejména ve státech. Všichni, kdo umí něco přečíst v angličtině pravděpodobně zde něoo nakoupili. Se čtečkami Kindle je to také populární zdroj elektronických knih. Lze tedy předpokládat, že jakýkoliv anglicky mluvící uživatel má účet u Amazonu.
Poučení 4: Jestliže zadáváte svou emailovou adresu jako přihlašovací jméno, rozhodně nepoužívejte veřejně známou emailovou adresu (tedy žádný emailový alias, který máte uvedený na webu viz Poučení 1 a nejlépe ani jméno vaší emailové schránky, ale spiše emailový alias, který použijete jen k přihlášení do jediného místa - nedoporučuji ani přihlašování stejným přihlašovacím jménem na více místech), Místo emailového aliasu můžete použít nově založenou emailovou schránku, ale to s sebou nese zase jiná rizika.
Toto jsou chyby, ze kterých by se měli poučit uživatelé. Bohužel jsou zde i chyby, ze kterých by se měli poučit společnosti jako Amazon a Google. Způsob, jakým byl hacker schopný získat přístup na účet Amazonu je šíleně jednoduchý. Tak by to rozhodně vypadat nemělo. Mat sype popel na hlavu sobě (protože si nezálohoval a měl emailové účety propojené s adresou @me.com), ale není to jen jeho chyba. Amazon by měl věnovat více pozornosti tomu, komu svěřuje přístup.
A bez viny není ani Apple. Není zase takový problém získat číslo kreditní karty, tím spíš, že stačí pouze čtyři poslední. Není to dlouho, co si jedna pokladní u nás vesele zapisovala čísla karet, kterými platili zákazníci. Totéž riziko hrozí, kdykoliv kartu použijete nebo vytáhnete z peněženky. Bývá zvykem, že právě poslední čtyři čísla karty vyjíždějí na potvrzení o zaplacení. Použít právě tyto čísla pro autorizaci uživatele mi připadá velmi ... nedostatečné.
Osobně bych považoval asi za nejvhodnější způsob, jakým ověřují uživatele některé certifikační autority. Nejedná se o nic komplikovaného. Když uživatel nezná návodné otázky ani heslo (nebo je to nový klient), použije se adresa z kreditní karty (kterou platil za službu) a na tu adresu (nikoliv P.O. Box) se mu zašle ověřovací dopis (dopis s kódem, který napíšete do webových stránek). Pokud se bude jednat o dopis do vlastních rukou, je to ověření dostatečně kvalitní na to, aby se mu dalo věřit. Je to dražší, ale obávám se, že dnešní doba k tomuto způsobu bude směřovat.