Category archives for "biztonság"

Frequent Locations

Apple:

To learn places that are significant to you, your iOS device will keep track of places you have recently been, as well as how often and when you visited them. This data is kept solely on your device and won’t be sent to Apple without your consent. It will be used to provide you with personalized services, such as predictive traffic routing.

Settings – Privacy – Location Services – System Services – Frequent Locations

Érdemes belenézni.

A Facebook kérdéskör

Volt ez a balhé a napokban, hogy a Facebook néhány százezer emberen kísérletet hajtott végre azt illetően, hogy a posztok streambe válogatása hogyan korrelál a teszt alanyok posztolási stílusával. Ha szomorú dolgokat látok a falamon, akkor valószínűleg én is szomorúbb dolgokat fogok megosztani és viszont. (Persze így lett.)

Az internet természetesen felháborodott, pedig.

Nem vagyok nagyon benne a Facebookban, nekem az ottani személyes jelenlétem is elég visszafogott, általában megelégszem azzal, ha mindenféle pikírt megjegyzéseket helyezek el véletlenszerűen megosztott témákban (tevékenység leépülőben), viszont a fentiekkel kapcsolatban van véleményem.

Szerintem a felháborodott internet nincsen tisztában azzal, hogy a Facebook eleve ezzel a fajta dologgal kísérletezik ki tudja, mióta.

Emberek.

A Facebook egy olyan szolgáltatás, ahol valamiféle teljesen idióta algoritmus szerint rakja a News Feededbe a megjelenő sztorikat, posztokat. Ők már eleve csinálják és a maguk kénye-kedve szerint finomítják ezt az egészet. Teljesen felesleges felháborodni rajta. Most, ha jól értem, csak annyit finomítottak rajta, hogy nézték azt, hogy a tekergetés hatására a felhasználók mit posztoltak.

Az, hogy feliratkozom valakire, egyáltalán, sőt!, nem jelenti azt, hogy meg is fogom kapni azt, amit kirak magáról. Hogy mi jelenik akkor meg? Én még nem jöttem rá. De arra igen, hogy időnként felbukkannak rendre olyan sztorik, amiket már számtalanszor láttam és nem értem, miért van még mindig ott.

Másik oldalról hiába vagyok 50 ezer lájkkal rendelkező oldal, soha nem fogja mind az 50 ezer ember megkapni. Megkapják többen, ha a Facebook úgy gondolja, érdekes poszt, kevesebben, ha ő érdektelennek gondolja. (Persze, ha fizetünk érte, akkor kirakja nekik – de érdekes!)

Ezt a geciskedést nem csinálja egyébként pl. a Twitter, vagy Instagram. Ott amit írok, látja minden feliratkozó és én is látom mindenkinek a posztját, akire feliratkoztam. Ez normális és el is várt. De a Facebook tekeri az egészet.

Ez az egész valamiféle orbitális méretig felkúrt kísérletezés, aminek a vége természetesen az, hogy ez egy hirdetési cég, és abból él, hogy kísérletezik és mindezt kihasználja.

Szerintem a fentiek az okostelefonokon, meg laptopok előtt görnyedő agymentes Facebook generáció hatalmas szegénysége. És mi ezt az egészet támogatjuk, ezt az egészet használjuk. És annyira, de annyira használjuk, hogy tönkrement közben az IWIW bazmeg. Együtt tettük tönkre az IWIW-et.

Free IWIW.

(Csináljunk pólót.)

A nap rossz híre

Feltörték az iCloud aktivációs zárolását, CNN:

The hackers have discovered a method for bypassing a protective feature on Apple devices. (…) By plugging your iPhone or iPad into a computer and altering a file inside, you trick the device into connecting to the hackers’ server instead. Once connected, the server will tell the iPhone or iPad to unlock.

Értsd: minden telefon egy adott Apple ID-hez, a tulajdonosához kapcsolt. Egy telefont nem lehet használatba venni, míg ez a lépés nem történik meg az interneten keresztül. Ha gazdát cserél a készülék, akkor az előző tulajdonosnak ki kell jelentkeznie belőle, ha nem teszi meg, akkor továbbra is ő rendelkezik a készülék felett (letörölheti a távolból, zárolhatja, lekérdezheti a pozícióját). Az ilyen telefonokat, tipikusan a lopottakat, nem lehetett ebből kifolyólag eddig értékesíteni.

Innentől kezdve sajnos a lopott iPhone-jainkat újra ki tudják nyitni a tolvajok és el tudják adni. 🙁 Megnéztem a fickók Twitter kontóját is, folyamatosan RT-zik azokat az embereket, akik egyszerre hat készüléket unlockolnak – vagyis majdnem kizárólag arra használják a hacket, hogy lopott készülékeket hatástalanítsanak.

Man-in-the-middle attack, az Apple szervereit szimulálják, ők autentikálják a folyamatot, tehát az unlockhoz rájuk is szükség van. A weblapjukon, amire most nem fogok linkelni, még iCloud bejelentkezési form is van. HÜLYE VAGY, HA HASZNÁLOD.

Úristen, bazmeg.

Kinek a hibája a Heartbleed bug?

Phillip Remaker a Quorán:

The architect of the DTLS heartbeat protocol and author of the relevant OpenSSL code is Dr. Robin Seggelmann. He has admitted full responsibility for the bug. Dr. Stephen Henson reviewed the code and did not notice any problem. None of the testers discovered the bug. Users did not notice a problem for over two years.

You could blame the author, but he did this work for free, for the community, and with the best of intentions.

You might assign blame to the whole OpenSSL organization, the whole open source community and the culture of coding over testing. But testing is hard, boring, and thankless. Coding is much more fun and rewarding.

You might even lay the blame at the feet of Brian Kernighan and Dennis Ritchie for providing us the C programming language which doesn’t have robust bounds checking built in. But that very lack of robustness contributes to the speed and agility of the language. And its stunning popularity.

Don’t focus on assigning blame. Focus on improving the systemic and organizational mechanisms in the development and testing culture that made it possible for such a bug to exist in the first place. We all benefit tremendously from people like Dr. Seggelmann, Dr. Hanson, and the OpenSSL Project, so don’t throw stones at them. Figure out how you are going to help make things better for everyone.

/via @felhobacsi

De ezt a választ se hagyjuk ki. 🙂

Az NSA már két éve tudott a Heartbleed bugról

Bloomberg:

The U.S. National Security Agency knew for at least two years about a flaw in the way that many websites send sensitive information, now dubbed the Heartbleed bug, and regularly used it to gather critical intelligence, two people familiar with the matter said.

Illetve még tegnapról:

Az Apple SSL/TLS bug mögött

John Gruber posztjában összefoglalja a tegnapi SSL/TLS hibával kapcsolatos érdekességeket: a hiba, aminek kiaknázásával egy harmadik fél képes olvasni a titkosított csatornát, az iOS 6-ban jelent először meg, 2012 szeptember végén (1). A kiszivárgott NSA PRISM dokumentáció szerint az Apple-t először 2012 októberében célozták meg (2). Landon Fuller szerint a hibát már a unit testing során meg kellett volna találniuk, de nem tették (3). Ezek után mindenki azt hisz, amit akar, én a magam részéről csak annyit tennék hozzá: felettébb különös véletlenek sorozata ez.

Arra a teóriára hajlok egyébként, hogy igenis megkent valakit az NSA, hogy rakja be a commitot a kódba – nyilván a tettest időközben elkapták, illetve azt a kontót, amivel csinálta a módosítást. Az sem nyugtat meg senkit ezek után, hogy a cég azonnal kinyomta a biztonsági frissítést, ami eltünteti a hibát. Szép új világ.

Így csalták ki belőlem az 50 ezer dolláros Twitter címemet

Naoki Hiroshima 2007-ben beregisztrálta magának a @N Twitter kontót, amit azóta többen próbáltak már megszerezni tőle, valaki egyszer 50 ezer dollárt ajánlott érte. Most viszont sikeresen elhappolták tőle, mégpedig úgy, hogy birtokba jutottak a GoDaddy-nél. Érdemes elolvasni a teljes sztorit, a lényeg az, hogy viszonylag egyszerűen ki lehet csalni egyik cégtől a hitelkártya négy utolsó számjegyét. Végül a tanulság:

If you are using your Google Apps email address to log into various websites, I strongly suggest you stop doing so. Use an @gmail.com for logins.

Ajánlom még ezt a posztot is a témában. Én egyébként óva intek bárkit, hogy a GoDaddy-vel dolgozzon, gusztustalan egy féreg banda.

update: még egy hasonló sztori, szintén prémium Twitter username hijackinggel a háttérben. A Droplr alapítóját próbálták meg kizárni – és majdnem sikerült is. A részletek:

My Twitter profile linked to my website, my website had WHOIS information. I use a very very old address on all my public WHOIS records, but it happens to be the address of my parents, and since I’ve shipped gifts to my parents through Amazon, they had that address on file.

He then called Amazon with what little information he had gained and cried that he had lost his password and didn’t have access to that email address anymore. The representative caved and reset the password over the phone giving him full access to my Amazon account. His plan was to then gain as much information he could with Amazon (last four of credit card numbers, current and previous addresses, etc…) and use that as ammunition to do the same thing with Apple. And it worked.

Backdoor van a véletlenszám generátorban is

Az NSA 10 millió dollárt fizetett az RSA cégnek, hogy backdoort helyezzen el az egyik titkosítási eljárásuk véletlenszám generátorában, itt a lavinát kirobbantó Reuters cikk. Ebből:

RSA received $10 million in a deal that set the NSA formula as the preferred, or default, method for number generation in the BSafe software, according to two sources familiar with the contract.

Hogyan lehetséges ez technikailag? Nick Sullivan ex-Apple titkosítási szakértő elmagyarázza. Hogy ez miért érdekes? A véletlenszám generátor ismeretében hozzá lehet férni végeredményben a titkosított dokumentum tartalmához a kulcsok ismerete nélkül. Néhány példa a közelmúltból:

– A flaw in a random number generator allowed people to hijack Hacker News accounts.
– A broken random number generator in Android allowed attackers to hijack thousands of dollars worth of bitcoins.
– The version of OpenSSL on the Debian distribution of the Linux operating system had a random number generator problem that could allow attackers to guess private keys created on these systems.

És a lényeg:

One algorithm, a pseudo-random bit generator, Dual_EC_DRBG, was ratified by the National Institute of Standards and Technology (NIST) in 2007 and is attracting a lot of attention for having a potential backdoor. This is the algorithm that the NSA reportedly paid RSA $10 million in exchange for making it the default way for its BSAFE crypto toolkit to generated random numbers.

(…)

The amazing fact is that our toy random number generator described above is Dual EC_DRBG, almost exactly. It was published by the NSA with two “random” looking points P1 and P2. There is no indication of how these values were generated.

The values for the points P1 and P2 could have been chosen randomly or they could have been chosen with a deliberate relationship. If they were chosen deliberately, there is a backdoor. If they truly were chosen randomly, then finding the internal state is as difficult as breaking elliptic curve cryptography. Unfortunately, there is no way to identify if the two points were chosen together or randomly without either solving the elliptic curve discrete logarithm function, or catching the algorithm’s author with the secret backdoor value. This is the nature of a one-way trapdoor function.

The authors did not provide any proof of randomness for the two points P1 and P2. This could have easily been done by choosing P1 and P2 as outputs of a hash function, but they did not. This is just one of many flaws in the design of this algorithm.

Prezi bug hunt

HH a Webisztánon jól összefoglalta az előzményeket. A sztori vége:

Nyilván itt már PR-örvényben vannak és mentik a menthetőt. Egészen biztos vagyok benne, hogy a Prezi részéről semmi rosszhiszeműség nem volt, egyszerűen csak emberi mulasztásból, #fenesegondoltavolna, fény derült az 500 dollár per bug kiírásnál nagyobb baklövésre.

Sokkal érdekesebb ez a kérdés szervezetileg. Ha megnézzük a levelezést (PDF link), a Prezinél dolgozó Zs. Attilánál landolt a dolog. Ő a maga módján próbálta megoldani a dolgot, teljesen igaza volt, hogy a bughunt eredeti kiírására nem terjed ki a dolog, legyen elég, ha kapsz egy prezis mouse padot:

We’ve been offering swags (t-shirt/mug/etc) for everyone who reported valid but out-of-scope issues, and we don’t want to create a case of paying bounty for such findings, meaning I can’t offer bounty for your submission :(. However if you tell us your shipping address, I’m more than happy to send you the swags.

Sajnos a bugot kereső fiatalembernek ennél több ideje van, hosszas levélben kezdte el összefoglalni a témát, megírta a blogposztját, ezt aztán mindenki felkapta stb. (Mindent felkapnak, ha a címben szerepel a kattintékony “ellopták” és “forráskód” kifejezéspáros.)

A Prezi nem ismerte szerintem fel több szinten sem a dolog súlyosságát. Itt nem arról van ugyanis szó, hogy talált valami húszéves csokker egy kiírás szerinti out of scope problémát, hanem arról, hogy rátalált egy olyan, bárki számára elérhető információra, amivel nem csak újságcikkekbe lehet bekerülni, hanem képes anyagi károkat is okozni a vállalatnak.

Őszintén szólva, utólag könnyen okoskodva, már rögtön az elején, akár 2 ezer dollárt kellett volna adni a faszinak, hogy egy ilyen “exploitot” talált meg (azt nem tudom eldönteni, hogy annak a béréből kellene-e e levonni ezt a pénzt, aki ottfelejtette a config fájlt). Szervezetileg sajnos Attila szintjén a dolog még arról szól, hogy ne osztogassa össze-vissza a lóvét. Viszont most mindannyian tanultunk az esetből és abból, mennyire vékonyak azok a banánhéjak.

Okos vagyok, mert nem az én faszommal verik a csalánt.

update: a Prezi egyébként azóta mindent megtett, hogy kitekeredjen ebből a PR bombából, fizetnek a csávónak, átírták a kiírást, tanultak az ügyből, Halácsy Péter co-founder személyesen írt levelet mindenkinek, aki foglalkozott az üggyel (én is kaptam egy nekem írtat, nem is gondoltam volna).

Poloska a Google adatközpontjában

Ezen az ábrán az látszik, hogy az amerikai nemzetbiztonság hogyan csapolta meg a Google adatait. A dolog lényege röviden annyi, hogy a Google-ön belüli kommunikáció nem volt titkos (jóhiszeműen: miért is lett volna), így az exkluzívan csak a Google által használt, de alvállalkoztatott adatközpontba elég volt az NSA-nak beraknia a poloskát. Innentől bármilyen jó biztonsági rendszert fejlesztett is a Google, nem lehetett elég jó. Néhány nap telt el csak az eset óta, de ma már nem cleartextben mennek az adatok a Google-ön belüli adatközpontokban sem (és nem is volt az sem cleartext, de valóban egyszerűen dekódolni lehetett). Az is egy érdekes kérdés, hogy egy adatközpontra tudtak ilyen jellegű nyomást gyakorolni a fekete terepjárósok – ilyen világban élünk.

Az eset kapcsán egyébként két Googler is kimondta a “fuck you”-t: Brandon Downey és Mike Hearn.

Chaos Computer Club breaks Apple Touch ID

ccc.de:

The biometrics hacking team of the Chaos Computer Club (CCC) has successfully bypassed the biometric security of Apple’s TouchID using easy everyday means. (…)

In reality, Apple’s sensor has just a higher resolution compared to the sensors so far. (…)

First, the fingerprint of the enroled user is photographed with 2400 dpi resolution. The resulting image is then cleaned up, inverted and laser printed with 1200 dpi onto transparent sheet with a thick toner setting. Finally, pink latex milk or white woodglue is smeared into the pattern created by the toner onto the transparent sheet. After it cures, the thin latex sheet is lifted from the sheet, breathed on to make it a tiny bit moist and then placed onto the sensor to unlock the phone. This process has been used with minor refinements and variations against the vast majority of fingerprint sensors on the market.

A fentieket röviden összefoglalva: viszonylag egyszerű hagyományos módszerekkel átverni az Apple Touch ID-jét, ami ugyanolyan, mint bármelyik másik ujjlenyomat olvasó, csak éppen jobb minőségű a szkennere. Egy ujjlenyomatot szerezve, beszkennelve, kiretusálva és kinyomtatva gyakorlatilag átverhető a gép. Ebben a videóban a fenti, remegő kezű hacker demonstrálja is a dolgot. A technika egyébként a fentiek szerint egy létező és régóta használt dolog az ujjlenyomat olvasó piacon.

Mivel a Touch ID iTunes vásárlásokra is használható, egy fokkal problémásabbnak érzem a fentieket, mintha csak arról lenne szó, hogy a négyjegyű passcode-ot lehet vele átverni. Ugyanakkor abba is érdemes belegondolni, hogy viszonylag körülményes jó eredetit szerezni, titkosszolgálati eszközökkel kell rámenni a dologra, nem hiszem, hogy a hétköznapi tolvajok esetében különösebb behatolástól kellene tartanunk.

Ettől függetlenül jó tudni, hogy nem képes csodákra, de ezt már az előző posztból is sejteni lehetett.

WarHead 2, Kunmadaras

Kemény dolog ez az airsoft:

A játék indulásakor el fog hangzani a „Tárakat be!” parancsszó, csakis akkor lehet betárazni! Ha valaki mégis úgy dönt, hogy ott lövöldözik, ahol nem kellene, akkor a szervezők HAZAKÜLDIK!

Egyébként tényleg kemény, én általában ilyen helyzetekben meg sem merek moccanni, nehogy eltaláljon a lövedék. Ajánlható még az airsoft+injury Google képkereső kulcsszó páros, de nem linkelem ide.

1Password vagy nem, ez itt a kérdés

A világ egyik legnagyobb játékszoftvert gyártó fejlesztő cége, a Blizzard írja:

This week, our security team found an unauthorized and illegal access into our internal network (…)

At this time, we’ve found no evidence that financial information such as credit cards, billing addresses, or real names were compromised. (…)

We also know that cryptographically scrambled versions of Battle.net passwords (not actual passwords) for players on North American servers were taken.

Az Észak-Amerikaiakat érinti egyébként a probléma. Nem nagy ügy, vagy mégis? Ezt most csak azért raktam ide, hogy mutassam, minden hétre van valami nagyobb méretű biztonsággal kapcsolatos hír, és ez a jövőben még inkább így lesz.

Lapozzunk most a 1Passwordre. Aki nem ismerné: a 1Password egy ultrakényelmes jelszót tároló megoldás, amivel egyetlen jelszót, a mester jelszót kell csak megjegyeznünk, minden mást ő kezel (meg se kell jegyeznünk), valamint szinkronizál az eszközeink között. Csuda kényelmes, sokan is használják.

A kényelem oltárán viszont előszeretettel vagyunk hajlandóak olyan döntéseket hozni, ami egyébként meg se fordulna a fejünkben. Elvégre itt is ez történik. Tudom, hogy itt sem maguk a jelszavak vándorolnak, meg így meg úgy vannak titkosítva, meg akármi, engem mégis elborzaszt, hogy miért bízzam a jelszavaimat valami köd szolgáltatásra (a ködbe szinkronizálás egyébként opcionális náluk).

Nem sorolom magam az ultraparanoid emberek közé, akik még bankban sem tartanak pénzt (mert minden, ami nálam van, az van nálam), de a jelszavaimat valamiért jobb szeretem úgy, hogy még egy nyomorult szoftver se lássa, akkor se, ha nem lát ki az internetre.

Engem a Mat Honan eset arról győzött meg, hogy manapság már nem úgy törik fel a rendszert, hogy kitalálják a jelszót, hanem más módszerekkel. Értem ez alatt azt is, hogy betörnek valami adatközpontba, aztán onnan próbálnak eljutni valahová. Nekem a 1Password is ez a kategória, szerintem csak idő kérdése, és a Blizzardhoz hasonló hírt fogunk olvasni valahol. Nem biztos, de számomra nem elképzelhetetlen. (A Valve-hoz is betörtek tavaly novemberben, rengeteg ilyen hírt olvasni.)

Márpedig én ebbe nem akarok belegondolni: az összes jelszavam, akármennyire biztonságos is, illetéktelenek kezébe került. Nyilván mindent megtesznek, hogy még biztonságosabb legyen a szolgáltatásuk (lásd itt), de engem ez sem nyugtatna meg abban az esetben, ha az 1Passwordot készítő Agilebits kiadna egy Blizzardhoz hasonló sajtóközleményt valamelyik nap. (Gondolatkísérlet: tételezzük fel, hogy kiadnak egy ilyen sajtóközleményt – megváltoztatod az összes jelszavad ennek hatására?)

Én magam is használok egyébként 1Password házibarkács megoldást: egy 256 bites AES kódolású diszk imázsban tárolom szenzitív dolgaimat. Ez nem csak kereshető jelszavakat jelent, de olyan dokumentumokat is, amiket nem akarok illetéktelen kezébe juttatni akkor sem, ha megszerzik a kontrollt a számítógépem felett.

Disclaimer: a poszt színtiszta dezinformáció, 1Password felhasználó vagyok

Az igazi film

Mat Honan az igazi virtuális bűnözési áldozat lett. Az esete pedig rávilágít arra, hogy mennyire vékony a jég, amin járunk a felhőben. Az egykori Gizmodo, mára Wired alkalmazott múlt péntek délután azt vette észre, hogy egyszer csak leállt az iPhone-ja. Nem nagy ügy, gondolta, visszadugta. Igen ám, csakhogy a telefon a telepítési képernyővel állt vissza. Azt hitte, valami szoftveres téma. Beírta szépen az Apple ID jelszavát, a rendszer viszont nem fogadta el. Még ezen a ponton sem gyanakodott semmire, maximum bosszús volt.

Elővette a MacBookját, hogy majd arról visszaállítsa a telefonon levő szoftvert, viszont a laptop kiszólt, hogy rossz a Gmail passwordje is. Ezen a ponton a laptop is elszürkült és egy négy jegyű PIN kódot kért, amije Honannak nem is volt. Innentől vált világossá számára, hogy mindennek vége: a hackerek letiltották az összes eszközét a távolról (sőt, letörölték, sok személyes adata meg is semmisült, mert szerencsétlennek nem volt backupja sem), megváltoztatták a Gmail jelszavát, azon keresztül pedig elérték a Twitter kontóját is, innen pedig rasszista és homofób üzeneteket küldözgettek.

Az egészben az érdekes rész az, hogy nem a fickó passwordjét találták ki a betörők, hanem rájöttek, hogy az Apple ID password resethez a telefonos ügyfélszolgálaton keresztül néhány olyan információra van csak szükség, amit nem annyira bonyolult összeszedni: egy email címet kell tudni, egy számlázási címet és a hitelkártya szám utolsó négy számjegyét. Ez utóbbit a hackerek az Amazonról (!) szerezték be, szintén egy telefonálást követően, a folyamatról bővebben lejjebb.

Őrület.

A dolog másik nagyon érdekes része az, hogy Mat (Twitteren: @mat) végül kapcsolatba tudott lépni a hackerrel, aki felfedte neki (miután megbeszélték, hogy nem jelenti fel őket a rendőrségen), hogy pontosan milyen módszert alkalmaztak, illetve azt is, hogy mi volt a motivációjuk. Ez a legérdekesebb az egészben. Nem a Gizmodo Twitter kontójára mentek, azt csak véletlen derült ki. A Twitterre mentek, mégpedig arra, hogy megszerezzék a három betűs kontót. (Ez szerintem nem lehet az igazi indíték egyébként.)

A sztori onnan indult, hogy megnézték a fickó Twitter kontóját, innen eljutottak a Gmail usernevéhez, Gmailben pedig nem volt bekapcsolva a két lépcsős autentikáció. A második lépcső a telefonos azonosítás. Mivel nem volt bekapcsolva, a hackerek meg tudták állapítani, hogy melyik az alternatív email cím, ami ugyan ki van csillagozva, de elég volt ahhoz, hogy rájöjjenek, mi lehet az Apple ID mailje (nyilván a fickó egybeírt neve volt). Innen jöhetett a többi.

Az Amazont felhívták, elmondták, hogy ők a kontó tulajdonosai és egy újabb hitelkártyát szeretnének a kontóhoz társítani. Ehhez a kontó neve, email címe és számlázási címe kell. Ez utóbbit is könnyedén megszerezték a fickó egyik doménjének WHOIS adatából. Igazi kártyaszámot sem kell megadni, mert a neten vannak oldalak, ahol olyan számokat lehet generáltatni, amiket elfogadnak az ellenőrző rendszerek a nélkül, hogy konkrétan kiderülhetne, hogy igazi számok-e.

A hackerek ezután letették a telefont, majd újra hívták az Amazont. Ezen a ponton elmondták, hogy sajnos nem tudnak belépni a kontójukba. Megadták az összes eddig rendelkezésre álló infót, beleértve a kamu hitelkártya számot is, az Amazon pedig hozzáadta a hackerek email címét, akik ezután arra a mailre kértek egy password resetet. Miután be tudtak menni az Amazon kontóba, megnézték az igazi hitelkártya szám utolsó négy számjegyét, ezzel az információval pedig már mehettek is az Apple-höz, ahol vígan bejutottak az iCloudba.

A sztori lehetett volna még gázabb is: elkezdhettek volna pénzt költeni, elkezdhették volna az iCloud címlista más személyeit abuzálni hasonló módszerekkel stb. Szerencsére ennyire nem voltak rossz indulatúak, egyszerűen csak élvezték a helyzetet a maguk szórakoztatására.

Mat Honan összefoglalásképpen elmondja még azt is, hogy szerinte faszság bekapcsolva hagyni a “Find my Mac” opciót. Ha bármi van, az ember gépét azért ne tiltsák le, ha meg véletlen tényleg ellopják, nem feltétlen ezzel fogja megtalálni. iOS eszközök esetében tényleg okos, de laptopnál megkérdőjelezhető a használata. Ugyanakkor azzal is tisztában van, hogy hülye volt, bár ez relatív. Nem volt backupja és nem volt bekapcsolva a két szintű Gmail autentikációja sem.

Megnéztem, nekem sem volt bekapcsolva a kétszintű Gmail autentikációm. Sőt, az Apple ID-m biztonsági kérdése sem volt túlságosan erős. Sőt, az Amazonon az élő kártyaszámom volt megadva. Sőt, a Find my Mac is be volt kapcsolva. Úgyhogy kikapcsoltam szépen a Find my Macet, kitöröltem az Amazonos kártyaszámaimat (ha vásárlok majd beírom esetenként), bekapcsoltam a kétszintű Gmail autentikációt, a Gmailhez linkelt kontóim nagy részétől elvettem a hozzáférést, az Apple ID biztonsági kérdésnek pedig sajátot választottam, és akkora jelszót generáltam bele, hogy kilóg a vége a formból.

Brave new world.

Apropó, a Plastik súgócikkjei a témában: