2012年8月7日

4分钟阅读

iCloud 黑客攻击事件始末以及如何避免成为下一个受害者

提示:不要向任何在线零售商提供您的信用卡信息;在 Gmail 中使用双重身份验证;不要“菊花链式”连接电子邮件帐户

作者:保罗·瓦根塞尔安全新闻日报

上周末遭受数字攻击的科技记者马特·霍南透露了他被彻底攻破的详细过程。他的案例是一系列涉及四家知名公司的安全漏洞,应该给任何过度依赖云计算服务的人敲响警钟。

我身上发生的事情暴露了多个客户服务系统中的关键安全缺陷,尤其是苹果和亚马逊的,”霍南在一篇长文中写道,该文章于昨晚(8月6日)在《连线》杂志网站上发表。“苹果技术支持让黑客访问了我的 iCloud 帐户。亚马逊技术支持让他们能够看到一条信息——部分信用卡号码——苹果利用这条信息泄露了我的信息。”

“简而言之,亚马逊认为不重要到可以在网上公开显示的最后四位数字,恰恰是苹果认为足够安全可以进行身份验证的数字。”

支持科学新闻报道

如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来有关塑造我们当今世界的发现和思想的具有影响力的故事得以继续存在。

不止一方有责任

霍南承认自己也有部分责任,因为他将三个在线帐户“菊花链式”连接,导致一个帐户的失败会引发下一个帐户的失败;将他的街道地址放在个人网站的域名注册信息中(其实可以使用邮政信箱);没有将笔记本电脑备份到物理磁盘;没有在他的 Gmail 帐户上使用双重身份验证;以及最糟糕的是,启用了他的 iCloud 帐户来擦除他笔记本电脑的硬盘。

“虽然这项服务对于手机(很可能丢失)来说很有意义,但对于电脑来说意义不大,”霍南写道。“您很可能更多的是远程访问您的电脑,而不是物理访问。”

但是,苹果和亚马逊也有责任,因为它们都让恶意行为者太容易访问其他人的帐户的重要细节,并且在信用卡号码的哪些部分应该可见方面存在冲突的政策。

亚马逊隐藏了信用卡号码的所有数字,只保留最后四位数字。苹果认为这最后四位数字是“通往王国的钥匙”,据霍南说,只需这些数字和账单地址就可以给某人一个现有苹果帐户的临时密码。

一位苹果发言人告诉霍南,“在这个特定案例中”,公司“发现我们自己的内部政策没有得到完全遵守。”

霍南和他的《连线》杂志同事想确认一下。他们尝试了在不同的苹果帐户上使用相同的方法——并且成功了。

一位自称是黑客攻击霍南团队成员的 Twitter 用户告诉他,“你真的可以进入任何与苹果相关的电子邮件。”

霍南说,亚马逊并没有那么容易被攻破。为了获得霍南信用卡号码的最后四位数字,攻击者必须两次致电亚马逊技术支持:第一次是将一张新的信用卡添加到帐户,第二次是重置指定的电子邮件地址。

亚马逊会将密码重置电子邮件发送到新的电子邮件地址,其中列出了所有存档的信用卡,除了最后四位数字之外的所有数字都将被遮盖。(霍南和他的同事证实这种方法也有效。)不幸的是,对于霍南来说,这最后四位数字掌握了他整个数字生活的钥匙。

谁没有犯错

具有讽刺意味的是,与霍南交谈的黑客说,他和他的朋友们只想攻击他的 Twitter 帐户,该帐户与霍南的 Gmail 地址相关联。霍南被擦除的 iPhone、iPad、iCloud 帐户以及他 MacBook 上所有丢失的数据,包括他一岁女儿的所有照片,都是附带损害。

当黑客尝试使用错误密码登录时,他们查看了 Gmail 生成的密码恢复页面。在那里,他们看到了列出的备用联系人电子邮件地址:“m****n@me.com”。

“如果我有一个除了苹果电子邮件地址之外的其他帐户,或者为 Gmail 使用了双重身份验证,那么一切都会在这里停止,”霍南写道。“但是使用 .Me [iCloud] 电子邮件帐户作为备份意味着告诉黑客我有一个 AppleID 帐户,这意味着我容易被黑客攻击。”

与苹果或亚马逊不同,谷歌在这次广为人知的事件中表现良好。它提供了安全措施,虽然没有被使用,但本可以阻止这次攻击。同样,Twitter 也表现良好,没有泄露任何信息,并及时将霍南的帐户归还给了他。

避免银色内衬背后的阴云

从某种意义上说,对于每个人来说,在云计算发展的这个阶段,这种灾难发生在一个如此高调的人身上是件好事。

坦率地说,霍南太相信随时随地可用的互联服务的优点了。他不再相信它了。

“我的经历让我相信,基于云的系统需要根本不同的安全措施,”他写道。“基于密码的安全机制——可以被破解、重置和通过社会工程手段攻破——在云计算时代已经不再足够。”

在新安全方法到来之前,这里有一些方法可以避免成为下一个马特·霍南

— 不要让亚马逊、苹果,或者任何在线零售商存储您的信用卡信息。每次都自己输入。这很麻烦,但事实就是这样。

— 完全不要使用信用卡来支付 iTunes 购买。相反,使用您在实体店购买的礼品卡。

— 启用 Gmail 中的双重身份验证。设置它可能有点麻烦,尤其是对于移动访问,但是一旦完成,别人就很难劫持您的 Google 帐户。(Facebook 也提供双重身份验证。)

— 分割您的 Apple 帐户:为 iTunes 创建一个帐户,为 iCloud 创建另一个帐户。同样,这很不方便,但如果您的 iTunes 帐户被劫持,它将保护您的 Apple 设备,这种情况发生的频率比您想象的要高。

— 不要“菊花链式”连接您的帐户,导致一次密码重置尝试导致另一次。相反,创建一个仅用于此类通知的新电子邮件帐户,甚至为每个帐户创建一个新的电子邮件帐户。如果您是那种运行自己 Web 服务器的人,请使其成为基于您控制的服务器的电子邮件地址。

 

版权所有 2012 SecurityNewsDaily,TechMediaNetwork 公司。保留所有权利。未经许可,不得发布、广播、重写或重新分发此材料。

© . All rights reserved.