Hakeriai myli Apple fanus ir iCloud’ą

Hakeriai myli Apple fanus ir iCloudą

Praktiškai anekdotinė istorija apie tikrą Apple faną, kuriam vieną dieną tiesiog “sugedo”: iPhone’as, iPad’as, iCloud’as ir Mac’as. Net Google, Twitter ir kitus servisus pagedę obuoliai kartu nusinešė.

At 4:50 PM, someone got into my iCloud account, reset the password and sent the confirmation message about the reset to the trash. My password was a 7 digit alphanumeric that I didn’t use elsewhere. When I set it up, years and yearsago, that seemed pretty secure at the time. But it’s not. Especially given that I’ve been using it for, well, years and years. My guess is they used brute force to get the password, and then reset it to do the damage to my devices.

The backup email address on my Gmail account is that same .mac email address. At 4:52 PM, they sent a Gmail password recovery email to the .mac account. Two minutes later, an email arrived notifying me that my Google Account password had changed.

At 5:00 PM, they remote wiped my iPhone

At 5:01 PM, they remote wiped my iPad

At 5:05, they remote wiped my MacBook Air.

A few minutes after that, they took over my Twitter. Because, a long time ago, I had linked my Twitter to Gizmodo’s they were then able to gain entry to that as well.

Here’s how I experienced it:

I was playing with my daughter, when my phone went dead. It then rebooted to the setup screen. This was irritating, but I wasn’t concerned. I assumed it was a software glitch. And, my phone automatically backs up every night. I just assumed it would be a pain in the ass, and nothing more. I entered my iCloud login to restore, and it wasn’t accepted. Again, I was irritated, but not alarmed.

I went to connect it to my computer and restore from that backup—which I had just happened to do the other day. When I opened my laptop, an iCal message popped up telling me that my Gmail account information was wrong. Then the screen went gray, and asked for a four digit pin.

I didn’t have a four digit pin.

By now, I knew something was very, very wrong. I walked to the hallway to grab my iPad from my work bag. It had been reset too. I couldn’t turn on my computer, my iPad, or iPhone.

I used my wife’s iPhone to call Apple tech support. While on hold, I grabbed her laptop and tried to log into gmail. My password had changed. I couldn’t reset it either because the backup went to iCloud, where my password had also changed.

I checked Twitter, and saw someone had just sent a tweet from that account. I tried to log into Gmail again, and now it told me that my Google account had been deleted. The way to restore it was to send a text message to my phone which I didn’t (and still do not) have access to.

Apple tech support couldn’t verify any of my information—my address, my credit card number, anything — as supporting information. They had me log into the website, where I was able to again change my password. After nearly an hour and a half on the phone, I realized they were spelling my last name incorrectly. They were looking at someone else’s account. Once we cleared that hurdle, well, actually not very much changed. They weren’t able to stop the wipe on my Macbook. Or give me a pin to log into it. Or give me immediate access to my phone. They couldn’t do much of anything, actually. Although they did set an appointment for me at the Genius bar tomorrow. Actually, I did that, later, when I called the store myself.

Anyway.

At some point in this time, Joe Brown, my friend and editor from Gizmodo, called my wife’s phone to make sure we knew what was going on. We did, but I seriously appreciated the moral support, and felt like a jerk for fucking up Gizmodo’s twitter. He and Gawker’s Scott Kidder then got on the phone with contacts at Google and Twitter trying to help me put the brakes on. A friend at Twitter helped expedite the request to suspend the account, which stopped the tweeting. That was really, really solid. Thank you.

I still can’t get into Gmail. My phone and iPads are down (but are restoring). Apple tells me that the remote wipe is likely irrecoverable without serious forensics. Because I’m a jerk who doesn’t back up data, I’ve lost at more than a year’s worth of photos, emails, documents, and more. And, really, who knows what else. [emptyage.com]

Juokingai skamba istorijoje vienas po kito vardinami įvairiausi iDaiktai. Dar įdomiau, kad sugadinti visiškai visus žmogaus iDaiktus, užtenka pavogti ar atspėti vienintelį iCloud slaptažodį. O juokingiausia, kad pastarasis nėra apsaugotas net nuo primityviausių slaptažodžio generavimo atakų. Nebūtų Apple?

Tik nepradėkit džiūgauti Windows, Android naudojantys. Taip, Jūsų telefono ar kompiuterio slaptažodžio taip lengvai niekas nepakeis, pačių aparatų per internetą neištrins, bet yra kita problema. Praktiškai visi šiandienos mobilūs įrenginiai leidžia tikrinti paštą be jokių slaptažodžių. Jei pamesite savo telefoną ar tablet, kiti turės priėjimą prie Jūsų pašto, o tada galės pakeisti daugumos kitų servisų slaptažodžius nuo Twitter iki Steam. Gudresni dar padarys viso turinio ir laiškų kopiją, nes didelė tikimybė, kad juose ras dar galybę slaptažodžių, banko kortelių numerių, asmeninės informacijos, o gal šiaip tiesiog įdomių nuotraukų ir video. Sakote, tokios svarbios informacijos laiškuose niekas seniai nesiuntinėja? Siunčia, tereikia mokėti ieškoti, o kartais užtenka iš vis prisijungti prie parduotuvės ir naudoti išsaugotus duomenis Jūsų hackerių patogumui…

Dabar bėgam stiprinti savo naudojamų slaptažodžių. Po to galvojam, ar ne laikas jau būtų išrasti kažką gudriau už slaptažodžius, ypač mobiliems įrenginiams? Gal kažką panašaus į face unlock, tik  realiai veikiančio.

12 Komentarai

  1. Kažodėl man tas “Face unlock” pasąmonėje susitapatino su “Slide unlock”. :D

  2. pirštą ar akis galėtų skenuot.

  3. po to prasides pirstu kapojimas… o gal net akies neteksit :)

    • Žiūrėjau vieną rusišką laidą, tai ten tipo aparatai aptinka kažkaip pagal tai ar akis(pirštas) dar gyvi ir prie žmogaus

  4. per mitu griovejus is pirsto skenavimo taip issityciojo kad graudu buvo ziuret .

  5. As kai pirkau telefa is lombardo tai buvo prisijungta ir prie facebook, gmail, twitter :P bet nieko nedariau nes nenoriu sugadint zmogaus gyvenimo.

  6. praganai telefa o google turi toki burta, kad atjungti visur tavo priloginta gmail….

    • Turi, aš kartais naudoju, bet išsilogina tik web naršyklės.

      Telefone gmail prašo ne slaptažodžio, o naujo permission iš pačios OS Google account, dėl ko be problemų vėl jį gali gauti. Arba kaip mano paskutinio telefono atvejis, kai pas žmogų iš vis nebuvo pašto app, bet aš parsiunčiau gmail app ir be slaptažodžio iš kart žmogaus paštą galiu skaityti telefone.

  7. Dar geriau, ne atspėjo pass, o patys Apple support jiems pasakė. :D

    “I know how it was done now. Confirmed with both the hacker and Apple. It wasn’t password related. They got in via Apple tech support and some clever social engineering that let them bypass security questions.”

  8. Pametus droida: Plan B, Lookout, Prey gali kazkiek gelbet…

  9. Žmogaus klaida buvo, kad neturėjo namuose Time Capsule. Šiaip ar taip, visiems nutikti taip gali. O remote wipe, tai visi telefonai gali turėti išmanieji. Nebent Androidai tos funkcijos neturi. Bendru atveju, juk tai dažniau gelbėja nei kenkia. Pas mus darbe vienas jau 3-čią iPhone pametė, o ten kontaktai, laiškai ir kiti konfidenciali informacija. Padarai wip’ą ir lai turi niekšas neveikiantį, ištrintą telefoną.

Palik komentarą

Komentavimo teisė topzone yra privilegija. Perskaityk komentarų taisykles.

XHTML: Leidžiami tag'ai: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>