Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.отсюда Плимус в отчетах продавцам показывает 4 последних цифры кредитки покупателя. Как другие регистраторы - не помню. Так что любой продавец на плимусе может вскрыть почтовый ящик своих покупателей с @me.com и если у владельца включены Find My Phone и Find My Mac - удаленно стереть содержимое ипадов, ифонов и макбуков покупателя. Ну и зная ФИО, адрес и телефон, получается есть риск вскрыть акк на Амазоне (а он есть почти у каждого в сша!), так что даже платеж пейпалом не спасет! Так что долой адреса от @me.com, и долой указывание реального адреса при покупке. И получается, пейпал тоже придется принимать как не крутись..Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера. Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.
Блог посвящен нелегкому бизнесу - разработке программ, продаваемых во множестве копий. Освящается в основном маркетинговая сторона и раскрутка, но и вопросы разработки и программирования тоже затрагиваются.
понедельник, 13 августа 2012 г.
как продающий через плимус может стереть все ipad, iphone & macbook своих покупателей
Подписаться на:
Комментарии к сообщению (Atom)
Рекомендую регистратор доменов с
абсурдно низкими ценами - всего $7 в год за .com с бесплатной приватной регистрацией в комплекте!
PS: а еще если купить у него хостинг, то дают купоны на AdWords
PPS: Потому что он немецкий, наверно.
PS: а еще если купить у него хостинг, то дают купоны на AdWords
PPS: Потому что он немецкий, наверно.
Комментариев нет:
Отправить комментарий