2012年8月7日

4分鐘閱讀

iCloud 駭客攻擊事件始末以及如何避免成為下一個受害者

提示:不要向任何線上零售商提供您的信用卡資訊;在 Gmail 中使用雙重身份驗證;不要“菊花鏈式”連線電子郵件帳戶

作者:保羅·瓦根塞爾安全新聞日報

上週末遭受數字攻擊的科技記者馬特·霍南透露了他被徹底攻破的詳細過程。他的案例是一系列涉及四家知名公司的安全漏洞,應該給任何過度依賴雲計算服務的人敲響警鐘。

我身上發生的事情暴露了多個客戶服務系統中的關鍵安全缺陷,尤其是蘋果和亞馬遜的,”霍南在一篇長文中寫道,該文章於昨晚(8月6日)在《連線》雜誌網站上發表。“蘋果技術支援讓駭客訪問了我的 iCloud 帳戶。亞馬遜技術支援讓他們能夠看到一條資訊——部分信用卡號碼——蘋果利用這條資訊洩露了我的資訊。”

“簡而言之,亞馬遜認為不重要到可以在網上公開顯示的最後四位數字,恰恰是蘋果認為足夠安全可以進行身份驗證的數字。”

支援科學新聞報道

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來有關塑造我們當今世界的發現和思想的具有影響力的故事得以繼續存在。

不止一方有責任

霍南承認自己也有部分責任,因為他將三個線上帳戶“菊花鏈式”連線,導致一個帳戶的失敗會引發下一個帳戶的失敗;將他的街道地址放在個人網站的域名註冊資訊中(其實可以使用郵政信箱);沒有將筆記型電腦備份到物理磁碟;沒有在他的 Gmail 帳戶上使用雙重身份驗證;以及最糟糕的是,啟用了他的 iCloud 帳戶來擦除他筆記型電腦的硬碟。

“雖然這項服務對於手機(很可能丟失)來說很有意義,但對於電腦來說意義不大,”霍南寫道。“您很可能更多的是遠端訪問您的電腦,而不是物理訪問。”

但是,蘋果和亞馬遜也有責任,因為它們都讓惡意行為者太容易訪問其他人的帳戶的重要細節,並且在信用卡號碼的哪些部分應該可見方面存在衝突的政策。

亞馬遜隱藏了信用卡號碼的所有數字,只保留最後四位數字。蘋果認為這最後四位數字是“通往王國的鑰匙”,據霍南說,只需這些數字和賬單地址就可以給某人一個現有蘋果帳戶的臨時密碼。

一位蘋果發言人告訴霍南,“在這個特定案例中”,公司“發現我們自己的內部政策沒有得到完全遵守。”

霍南和他的《連線》雜誌同事想確認一下。他們嘗試了在不同的蘋果帳戶上使用相同的方法——並且成功了。

一位自稱是駭客攻擊霍南團隊成員的 Twitter 使用者告訴他,“你真的可以進入任何與蘋果相關的電子郵件。”

霍南說,亞馬遜並沒有那麼容易被攻破。為了獲得霍南信用卡號碼的最後四位數字,攻擊者必須兩次致電亞馬遜技術支援:第一次是將一張新的信用卡新增到帳戶,第二次是重置指定的電子郵件地址。

亞馬遜會將密碼重置電子郵件傳送到新的電子郵件地址,其中列出了所有存檔的信用卡,除了最後四位數字之外的所有數字都將被遮蓋。(霍南和他的同事證實這種方法也有效。)不幸的是,對於霍南來說,這最後四位數字掌握了他整個數字生活的鑰匙。

誰沒有犯錯

具有諷刺意味的是,與霍南交談的駭客說,他和他的朋友們只想攻擊他的 Twitter 帳戶,該帳戶與霍南的 Gmail 地址相關聯。霍南被擦除的 iPhone、iPad、iCloud 帳戶以及他 MacBook 上所有丟失的資料,包括他一歲女兒的所有照片,都是附帶損害。

當駭客嘗試使用錯誤密碼登入時,他們查看了 Gmail 生成的密碼恢復頁面。在那裡,他們看到了列出的備用聯絡人電子郵件地址:“m****n@me.com”。

“如果我有一個除了蘋果電子郵件地址之外的其他帳戶,或者為 Gmail 使用了雙重身份驗證,那麼一切都會在這裡停止,”霍南寫道。“但是使用 .Me [iCloud] 電子郵件帳戶作為備份意味著告訴駭客我有一個 AppleID 帳戶,這意味著我容易被駭客攻擊。”

與蘋果或亞馬遜不同,谷歌在這次廣為人知的事件中表現良好。它提供了安全措施,雖然沒有被使用,但本可以阻止這次攻擊。同樣,Twitter 也表現良好,沒有洩露任何資訊,並及時將霍南的帳戶歸還給了他。

避免銀色內襯背後的陰雲

從某種意義上說,對於每個人來說,在雲計算發展的這個階段,這種災難發生在一個如此高調的人身上是件好事。

坦率地說,霍南太相信隨時隨地可用的互聯服務的優點了。他不再相信它了。

“我的經歷讓我相信,基於雲的系統需要根本不同的安全措施,”他寫道。“基於密碼的安全機制——可以被破解、重置和透過社會工程手段攻破——在雲計算時代已經不再足夠。”

在新安全方法到來之前,這裡有一些方法可以避免成為下一個馬特·霍南

— 不要讓亞馬遜、蘋果,或者任何線上零售商儲存您的信用卡資訊。每次都自己輸入。這很麻煩,但事實就是這樣。

— 完全不要使用信用卡來支付 iTunes 購買。相反,使用您在實體店購買的禮品卡。

— 啟用 Gmail 中的雙重身份驗證。設定它可能有點麻煩,尤其是對於移動訪問,但是一旦完成,別人就很難劫持您的 Google 帳戶。(Facebook 也提供雙重身份驗證。)

— 分割您的 Apple 帳戶:為 iTunes 建立一個帳戶,為 iCloud 建立另一個帳戶。同樣,這很不方便,但如果您的 iTunes 帳戶被劫持,它將保護您的 Apple 裝置,這種情況發生的頻率比您想象的要高。

— 不要“菊花鏈式”連線您的帳戶,導致一次密碼重置嘗試導致另一次。相反,建立一個僅用於此類通知的新電子郵件帳戶,甚至為每個帳戶建立一個新的電子郵件帳戶。如果您是那種執行自己 Web 伺服器的人,請使其成為基於您控制的伺服器的電子郵件地址。

 

版權所有 2012 SecurityNewsDaily,TechMediaNetwork 公司。保留所有權利。未經許可,不得釋出、廣播、重寫或重新分發此材料。

© .