woensdag 8 augustus 2012

Een horrorverhaal over privacy, Apple en Amazon

Tjonge, dit is echt een horrorverhaal:
At 4:50 p.m., a password reset confirmation arrived in my inbox. I don’t really use my .Me e-mail, and rarely check it. But even if I did, I might not have noticed the message because the hackers immediately sent it to the trash. They then were able to follow the link in that e-mail to permanently reset my AppleID password.
At 4:52 p.m., a Gmail password recovery e-mail arrived in my .Me mailbox. Two minutes later, another e-mail arrived notifying me that my Google account password had changed.
At 5:02 p.m., they reset my Twitter password. At 5:00 they used iCloud’s “Find My” tool to remotely wipe my iPhone. At 5:01 they remotely wiped my iPad. At 5:05 they remotely wiped my MacBook. Around this same time, they deleted my Google account. At 5:10, I placed the call to AppleCare. At 5:12 the attackers posted a message to my account on Twitter taking credit for the hack.
Het komt er in het kort op neer dat iemand jaloers was op het mooie, korte Twitter-account van Mat Honan (@mat) en om dat account te hacken heeft hij eerst via de recovery pagina van Google de Google-account van Honan overgenomen om daarna via een handige truc bij Amazon de laatste vier cijfers van zijn creditcard te achterhalen.
First you call Amazon and tell them you are the account holder, and want to add a credit card number to the account. All you need is the name on the account, an associated e-mail address, and the billing address. Amazon then allows you to input a new credit card. (Wired used a bogus credit card number from a website that generates fake card numbers that conform with the industry’s published self-check algorithm.) Then you hang up.
Next you call back, and tell Amazon that you’ve lost access to your account. Upon providing a name, billing address, and the new credit card number you gave the company on the prior call, Amazon will allow you to add a new e-mail address to the account. From here, you go to the Amazon website, and send a password reset to the new e-mail account. This allows you to see all the credit cards on file for the account — not the complete numbers, just the last four digits.
Met deze cijfertjes, het postadres en het e-mailadres van Honan kon hij daarna de  AppleID overnemen en via iCloud de MacBook, iPhone en iPad van Honan wissen.
Enkel en alleen om een twitternaam!

Wat had Honan kunnen doen om dit te voorkomen?
I should have been regularly backing up my MacBook. Because I wasn’t doing that, if all the photos from the first year and a half of my daughter’s life are ultimately lost, I will have only myself to blame. I shouldn’t have daisy-chained two such vital accounts — my Google and my iCloud account — together. I shouldn’t have used the same e-mail prefix across multiple accounts — mhonan@gmail.com, mhonan@me.com, and mhonan@wired.com. And I should have had a recovery address that’s only used for recovery without being tied to core services.
Maar natuurlijk gaan Apple en Amazon ook niet helemaal vrijuit in dit geval...

Gerelateerd
Gelezen: Jeffrey Deaver - The broken window

2 opmerkingen:

  1. Tweede poging.
    Dit soort verhalen maken me altijd erg bewust van mijn eigen foute gedrag. Ik ben ook niet kritisch genoeg hoe ik mijn beveiliging organiseer. Sinds een maand of twee ben ik nu bezig om mijn wachtwoorden structuur opnieuw vorm te geven. Dat is al een hels karwei met al die accounts. Nog even los van al de vaste inlogs die mijn browser netjes bijhoudt. Hoewel ik daar altijd selectief in ben geweest, maar toch.
    In mijn vakantie in Frankrijk kon ik ineens niet meer bij mijn google account. Een snoodaard had gepoogd om foute e-mails te versturen via mijn e-mail. Dat werkte niet, maar leverde genoeg argwaan aan Googlekant op om mijn account te blokkeren. Gelukkig kon ik via de sms service, zelfs met een gebrekkige wifiverbinding alles weer in orde maken. Deze waarschuwing leidt er toe dat ik nu in versneld tempo mijn accounts aan het bijwerken ben.
    Hoewel er om vele hoeken gevaar loert ben ik niet angstig genoeg om voorzichtiger te lopen door de straat. Ik beweeg me nog steeds teveel zonder omkijken.
    Mooie wake-up post die je geschreven hebt!

    BeantwoordenVerwijderen
  2. @8f6f3620583229e464230c9cdf71d15a:disqus Oei, dat klinkt als een hele onderneming, om je Google-account vanuit het buitenland weer onder controle te krijgen. En zonder dat wij er ook maar iets van gemerkt hebben, want je hebt gewoon doorgeblogd!

    Ik heb vanmorgen de "2-step-verification" van Google in combinatie met de Google Authenticator ingeschakeld. Heb nog geen idee hoe het precies werkt, ik moet nog iets doen met "applicatie-specifieke" wachtwoorden...
    Verder ga ik komende weken ook nog maar eens kijken welke accounts ik allemaal met elkaar gekoppeld heb, waardoor je met de ene account bij de andere kunt inloggen (bijvoorbeeld Google en Ning etc)

    BeantwoordenVerwijderen