Помощь Регистрация
Показано с 1 по 11 из 11
  1. #1
    Moderator Аватар для Qok
    Регистрация
    03.09.2004
    Пол
    Пол: Мужской
    Сообщений
    51 798
    Благодарности

    «Ваш мир будет удалён»

    Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

    Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.

    Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.

    Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.

    Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

    Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.

    Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.

    http://habrahabr.ru/post/149179/
    I Am The Most Peculiar Man.

  2. #2
    Аватар для Черный Лотос
    Регистрация
    07.10.2009
    Пол
    Пол: Мужской
    Сообщений
    2 281
    Благодарности
    Мы все умрем?

  3. #3

    Регистрация
    21.10.2009
    Пол
    Пол: Мужской
    Авто
    Renault Sandero Stepway 2
    Возраст
    28
    Сообщений
    8 094
    Благодарности
    Ну не все.

  4. #4
    Moderator Аватар для Qok
    Регистрация
    03.09.2004
    Пол
    Пол: Мужской
    Сообщений
    51 798
    Благодарности
    Цитата Сообщение от Черный Лотос Посмотреть сообщение
    Мы все умрем?
    Но не все сразу! )))

    Цитата Сообщение от ZASlonovsky Посмотреть сообщение
    Ну не все.
    Типа вчено живого Ленина? )))
    I Am The Most Peculiar Man.

  5. #5
    Георгиевская ленточка Аватар для starlanser
    Регистрация
    24.06.2011
    Пол
    Пол: Мужской
    Сообщений
    12 851
    Благодарности
    Цитата Сообщение от Qok Посмотреть сообщение
    Типа вчено живого Ленина? )))
    А чё удивляешься?)

  6. #6
    painter
    Guest
    Цитата Сообщение от Qok Посмотреть сообщение
    Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.
    и что?



    Цитата Сообщение от Qok Посмотреть сообщение
    Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была
    роковая ошибка.




    з.ы. меня тоже ломали и не раз. единственное - это помогло мне найти все свои уязвимости и ликвидировать их.
    все важные аккаунты и обычные ящики переведены на gmail.com со включенной двойной авторизацией, установлены железные файрволлы во всех местах, откуда у меня есть выход в инет.
    единственное, мне прищлось отказаться от андроида, ибо это ведро изначально дыряво насквозь и окончательно так, что здесь уже ничего не сделаешь.

  7. #7
    Аватар для тит
    Регистрация
    20.07.2011
    Пол
    Пол: Мужской
    Авто
    скоро будет amarok
    Возраст
    42
    Сообщений
    4 857
    Благодарности
    Цитата Сообщение от Qok Посмотреть сообщение
    «Ваш мир будет удалён»
    Журнал "Хакер", конец 90х - начало 2000х, подробные инструкции, новые баг-траки и т.д., кошмар админа локальной сети с выходом в тырнет, потом начали комплектовать дисками с видеоуроками. Вроде бы сейчас тоже издаётся, но уже не то (((.
    Чищу карму в техотчетах, составляю гороскопы по исполнительным, гадаю на проектах и кишках ГИПов, вызываю духов заказчика. Дорого.

  8. #8
    AG Team Аватар для meg@
    Регистрация
    05.10.2007
    Сообщений
    4 940
    Благодарности
    ну просто не нужно надеется на авось, а хотя бы читать рекомендации как обезопасить себя в сети.

  9. #9

    Регистрация
    31.08.2010
    Пол
    Пол: Мужской
    Авто
    14
    Сообщений
    648
    Благодарности
    Мэт. Ну ты и лошара !
    В душе я добрый , но как выйду из душа - сволоч

  10. #10
    Аватар для Tavion
    Регистрация
    07.09.2008
    Пол
    Пол: Мужской
    Возраст
    36
    Сообщений
    12 228
    Благодарности
    Цитата Сообщение от painter Посмотреть сообщение
    меня тоже ломали и не раз
    полюбому это были эпик и стп))

  11. #11
    Георгиевская ленточка Аватар для starlanser
    Регистрация
    24.06.2011
    Пол
    Пол: Мужской
    Сообщений
    12 851
    Благодарности
    Цитата Сообщение от painter Посмотреть сообщение
    з.ы. меня тоже ломали и не раз.
    Полностью?

Похожие темы
  1. Какие книги изменили ваш мир?
    от _Vesna_ в разделе Кино, театры, музыка, искусство, литература
    Ответов: 108
    Последнее сообщение: 03.09.2012, 00:53
  2. Какие книги изменили ваш мир?
    от _Vesna_ в разделе АвтоЛеди
    Ответов: 13
    Последнее сообщение: 12.11.2010, 01:04
  3. Сайт теперь будет развиваться куда быстрее! :)
    от admin в разделе Автомобильный
    Ответов: 69
    Последнее сообщение: 15.01.2010, 03:16
  4. Когда тут будет чат?
    от Lemur в разделе Советы, отзывы, критика, рекомендации
    Ответов: 19
    Последнее сообщение: 15.02.2006, 00:10
  5. Внимание! Форум будет закрыт на некторое время
    от admin в разделе Советы, отзывы, критика, рекомендации
    Ответов: 1
    Последнее сообщение: 16.08.2004, 18:04
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •