Az igazi film

Mat Honan az igazi virtuális bűnözési áldozat lett. Az esete pedig rávilágít arra, hogy mennyire vékony a jég, amin járunk a felhőben. Az egykori Gizmodo, mára Wired alkalmazott múlt péntek délután azt vette észre, hogy egyszer csak leállt az iPhone-ja. Nem nagy ügy, gondolta, visszadugta. Igen ám, csakhogy a telefon a telepítési képernyővel állt vissza. Azt hitte, valami szoftveres téma. Beírta szépen az Apple ID jelszavát, a rendszer viszont nem fogadta el. Még ezen a ponton sem gyanakodott semmire, maximum bosszús volt.

Elővette a MacBookját, hogy majd arról visszaállítsa a telefonon levő szoftvert, viszont a laptop kiszólt, hogy rossz a Gmail passwordje is. Ezen a ponton a laptop is elszürkült és egy négy jegyű PIN kódot kért, amije Honannak nem is volt. Innentől vált világossá számára, hogy mindennek vége: a hackerek letiltották az összes eszközét a távolról (sőt, letörölték, sok személyes adata meg is semmisült, mert szerencsétlennek nem volt backupja sem), megváltoztatták a Gmail jelszavát, azon keresztül pedig elérték a Twitter kontóját is, innen pedig rasszista és homofób üzeneteket küldözgettek.

Az egészben az érdekes rész az, hogy nem a fickó passwordjét találták ki a betörők, hanem rájöttek, hogy az Apple ID password resethez a telefonos ügyfélszolgálaton keresztül néhány olyan információra van csak szükség, amit nem annyira bonyolult összeszedni: egy email címet kell tudni, egy számlázási címet és a hitelkártya szám utolsó négy számjegyét. Ez utóbbit a hackerek az Amazonról (!) szerezték be, szintén egy telefonálást követően, a folyamatról bővebben lejjebb.

Őrület.

A dolog másik nagyon érdekes része az, hogy Mat (Twitteren: @mat) végül kapcsolatba tudott lépni a hackerrel, aki felfedte neki (miután megbeszélték, hogy nem jelenti fel őket a rendőrségen), hogy pontosan milyen módszert alkalmaztak, illetve azt is, hogy mi volt a motivációjuk. Ez a legérdekesebb az egészben. Nem a Gizmodo Twitter kontójára mentek, azt csak véletlen derült ki. A Twitterre mentek, mégpedig arra, hogy megszerezzék a három betűs kontót. (Ez szerintem nem lehet az igazi indíték egyébként.)

A sztori onnan indult, hogy megnézték a fickó Twitter kontóját, innen eljutottak a Gmail usernevéhez, Gmailben pedig nem volt bekapcsolva a két lépcsős autentikáció. A második lépcső a telefonos azonosítás. Mivel nem volt bekapcsolva, a hackerek meg tudták állapítani, hogy melyik az alternatív email cím, ami ugyan ki van csillagozva, de elég volt ahhoz, hogy rájöjjenek, mi lehet az Apple ID mailje (nyilván a fickó egybeírt neve volt). Innen jöhetett a többi.

Az Amazont felhívták, elmondták, hogy ők a kontó tulajdonosai és egy újabb hitelkártyát szeretnének a kontóhoz társítani. Ehhez a kontó neve, email címe és számlázási címe kell. Ez utóbbit is könnyedén megszerezték a fickó egyik doménjének WHOIS adatából. Igazi kártyaszámot sem kell megadni, mert a neten vannak oldalak, ahol olyan számokat lehet generáltatni, amiket elfogadnak az ellenőrző rendszerek a nélkül, hogy konkrétan kiderülhetne, hogy igazi számok-e.

A hackerek ezután letették a telefont, majd újra hívták az Amazont. Ezen a ponton elmondták, hogy sajnos nem tudnak belépni a kontójukba. Megadták az összes eddig rendelkezésre álló infót, beleértve a kamu hitelkártya számot is, az Amazon pedig hozzáadta a hackerek email címét, akik ezután arra a mailre kértek egy password resetet. Miután be tudtak menni az Amazon kontóba, megnézték az igazi hitelkártya szám utolsó négy számjegyét, ezzel az információval pedig már mehettek is az Apple-höz, ahol vígan bejutottak az iCloudba.

A sztori lehetett volna még gázabb is: elkezdhettek volna pénzt költeni, elkezdhették volna az iCloud címlista más személyeit abuzálni hasonló módszerekkel stb. Szerencsére ennyire nem voltak rossz indulatúak, egyszerűen csak élvezték a helyzetet a maguk szórakoztatására.

Mat Honan összefoglalásképpen elmondja még azt is, hogy szerinte faszság bekapcsolva hagyni a “Find my Mac” opciót. Ha bármi van, az ember gépét azért ne tiltsák le, ha meg véletlen tényleg ellopják, nem feltétlen ezzel fogja megtalálni. iOS eszközök esetében tényleg okos, de laptopnál megkérdőjelezhető a használata. Ugyanakkor azzal is tisztában van, hogy hülye volt, bár ez relatív. Nem volt backupja és nem volt bekapcsolva a két szintű Gmail autentikációja sem.

Megnéztem, nekem sem volt bekapcsolva a kétszintű Gmail autentikációm. Sőt, az Apple ID-m biztonsági kérdése sem volt túlságosan erős. Sőt, az Amazonon az élő kártyaszámom volt megadva. Sőt, a Find my Mac is be volt kapcsolva. Úgyhogy kikapcsoltam szépen a Find my Macet, kitöröltem az Amazonos kártyaszámaimat (ha vásárlok majd beírom esetenként), bekapcsoltam a kétszintű Gmail autentikációt, a Gmailhez linkelt kontóim nagy részétől elvettem a hozzáférést, az Apple ID biztonsági kérdésnek pedig sajátot választottam, és akkora jelszót generáltam bele, hogy kilóg a vége a formból.

Brave new world.

Apropó, a Plastik súgócikkjei a témában: