Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Hacker vymazal slavnému novináři všechna data. Stačilo přemluvit Apple

  14:14aktualizováno  14:14
Firma Apple neudělala svému cloudovému nástroji iCloud nejlepší reklamu. Americký novinář ze serveru Gizmodo přišel o gigabajty osobních dat během několika minut. Hacker se přitom nezdržoval prolamováním hesla. Místo toho využil slabiny lidského faktoru, když ho do cizího účtu pustila přímo technická podpora firmy Apple.

Novináři zmizela data z úložiště iCloud od Apple | foto: Mobil iDNES.cz

Máslo na hlavě má také internetový obchod Amazon. Celý podvod totiž umožnily čtyři číslice na jeho stránkách.

"Během jedné hodiny byl zničen celý můj digitální život. Můj Google účet byl prolomen a poté smazán. Pak získali kontrolu nad mým Twitterem, aby do světa vyslali několik rasistických příspěvků. A ze všeho nejhůře: hackeři použili můj iCloud účet, aby na dálku smazali všechna data na mém iPhonu, iPadu a MacBooku," píše zdrcený Mat Honan, redaktor technického serveru Gizmodo.

Selhal Apple a částečně i Amazon

Sociální inženýrství

Pro útok na cizí účet nebo data lze kromě technických prostředků využít i mnohem jednodušší metody. Sociální inženýrství (social engeneering) označuje širokou paletu postupů, které využívají lidských chyb, důvěřivosti nebo ochoty ke krádeži identity a získání přístupu k zabezpečeným systémům a datům.

O popularizaci pojmu se postaral bývalý hacker Kevin Mitnick. Ve své legendární knize Umění klamu (The Art of Deception) popisuje desítky scénářů, kdy drzost, vyřídilka a trpělivost umožnily podvodníkům dostat se k neuvěřitelně zabezpečeným datům nebo účtům.

V první chvíli se Mat Honan domníval, že se někdo dostal k jeho účtu prostřednictvím prolomeného hesla (které bylo ale dostatečně silné a jedinečné). Později se ukázalo, že hackeři se k jeho účtu dostali metodou, které se přezdívá "sociální inženýrství". Jinými slovy, využili lidského faktoru i špatně nastavených zásad v systému zabezpečení Apple.

V pátek kolem páté hodiny večer Mat Honan poprvé zjistil, že se s jeho digitální identitou děje něco podivného. Jeho iPhone se vzdáleně vypnul, po zapnutí jej požádal o číselný kód (který ale Honan neměl nastavený). Obezřetně vypojil ze sítě domácí router, vypnul počítač MacMini a zavolal na podporu Apple. Následovala 90 minut dlouhá konverzace, která k vyřešení problému nevedla. Pouze ukázala rozsáhlost celého problému.

"Apple se při řešení problému vůbec neobtěžoval sdělit mi, že už jim ten den volal někdo, kdo se za mne vydával. Teprve když jsem se jich na to přímo zeptal, potvrdili mi to. A já se jich na to zeptal jen proto, že mi to poradil samotný hacker," stěžuje si Honan.

Jak hacker dokázal přemluvit Apple? Stačila čtyři čísla

V půl páté zavolal na podporu Apple Care někdo, kdo se vydával za Mata Honana. Prý se nemůže dostat do svého e-mailového účtu. Zaměstnanec Apple v tomto okamžiku zásadně selhal, neboť se nezeptal na bezpečnostní otázku, kterou měl Honan nastavenou pro tyto případy. Namísto toho jim stačily údaje, které hacker posbíral různě po internetu, především čtyři poslední čísla Honanovy kreditní karty.

V té době už měl hacker svůj nejtěžší úkol za sebou. Zavolal na linku internetového obchodu Amazon, představil se Honanovým jménem a požádal o přidání nové kreditní karty k účtu. Protože jde o přidání karty, neměl Amazon problém vyhovět. O něco později hacker zavolal, že mu karta byla odcizena a on ji chce zrušit. Jelikož všechna data nadiktoval on sám, neměl problém je nadiktovat znovu. Všechno sedělo.

V tu chvíli ale hacker požádal o něco, na co neměl právo: chtěl přidat nový kontaktní e-mail k Honanovu účtu. Ale podpora Amazonu ví, že hovoří s panem Matem Honanem, vždyť jim právě nadiktoval všechny ověřovací údaje. Přidá tedy e-mail. Hacker pak tento e-mail využil k získání přístupu na Honanův účet na Amazonu a opsal si všechny důležité údaje, především adresu a poslední čtyři čísla kreditní karty (zbytek čísel Amazon z bezpečnostních důvodů skrývá).

Právě tato čtyři čísla pak hacker použil k tomu, aby podporu Apple přesvědčil o oprávněnosti požadavku, a tak získal dočasné heslo k Honanovu iCloud účtu. Od této chvíle už mu nic nestálo v cestě. Každý pokročilejší uživatel by zvládl smazat data stejně, jako to udělal hacker. Jde o standardní funkce, paradoxně zamýšlené jako bezpečnostní opatření.

Poučení: Dvoukrokové ověření, neprovazovat účty, zálohovat

Jak se lépe zabezpečit?

  1. Zálohujte důležitá data, pokud možno dvěma nezávislými způsoby
  2. Dobře si zabezpečte svůj hlavní e-mailový účet (jedinečné silné heslo, ideálně dvoustupňové zabezpečení)
  3. Mějte přehled o tom, kam zadáváte číslo kreditní karty
  4. Buďte opatrní při provazování více účtů do jednoho.

K útoku se přihlásil hacker s přezdívkou Phobia. Ozval se přímo reportérovi, kterého připravil o hromadu osobních dat, včetně všech fotek jeho malé dcerky. Proč? "Ze stejného důvodu, proč jsem vám právě řekl, jak jsem to udělal," odpověděl Phobia. "Chci veřejně upozornit na chyby v zabezpečení, aby je ty firmy opravily." Za smazání osobních dat se omluvil: "I když tohle jsem zrovna nedělal přímo já, omlouvám se. To je hodně vzpomínek. Mně je jen 19, ale kdyby rodiče přišli o řadu záběrů z mého dětství, byl bych bez sebe smutkem."

Honan se ale nezlobí na hackera. "Jsem hlavně naštvaný na sebe. Za to, že jsem nezálohoval svá data. Ale jsem taky rozčilený na celý systém, kterému jsem doteď tolik důvěřoval. Jsem naštvaný na Amazon, za to, že je tak snadné dostat se do mého účtu. Jsem naštvaný na Apple, kterému jsem svěřil tak velkou část svého digitálního života."

Uznává, že do jisté míry hackerům práci usnadnil, protože za dveřmi iCloud účtu na hackery čekaly přístupy k dalším provázaným účtům. "Kdybych použil dvoukrokové ověření, jako nabízí Google, je dost možné, že by k ničemu z toho nedošlo," uznává Honan (více o dvoukrokovém zabezpečení účtu v našem rozhovoru).

Autor:




Hlavní zprávy

Další z rubriky

ZmapujTo.cz
Tipy na weby: Ukliďte Česko. Hlaste podněty přímo z ulice či lesa

Práskat se nemá, ale hlásit se to musí. Poukažte na problémy ve vašem okolí přímo z terénu a nechte je řešit díky projektu ZmapujTo.cz. Smazat sami sebe z...  celý článek

Jak si zapamatovat heslo?
Složitá hesla byla 0my1, lituje autor návrhu. Časté změny spíše škodí

Hesla hrají v počítačové bezpečnosti nezastupitelnou úlohu. Bohužel si řada lidí volí složité a těžko zapamatovatelné řetězce typu p0L3dn!ce. Jeden z autorů...  celý článek

Samizdat.cz
Tipy na zajímavé weby: Najděte si nápad na nový byznys

V jakém oboru se vyplatí začít podnikat a jak je to s konkurencí ve vybraných částech ČR, prozradí mapa malého podnikání na Samizdat.cz. Dodavatele čerstvých...  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.