+ Ответить в теме
Страница 1 из 2 1 2 >>
Показано с 1 по 10 из 23

Тема: Как, зная только имя и email человека, злоумышленники получили доступ ко всем его....

  1. #1
    Аватар для Fly
    Fly offline СуперСтар Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold
    Регистрация
    17.07.2006
    Сообщений
    33,601

    Как, зная только имя и email человека, злоумышленники получили доступ ко всем его....

    ....аккаунтам и удаленно уничтожили информацию на всех его устройствах

    Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

    Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
    Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
    Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
    Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

    Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний рекламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
    Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.

    источник:http://habrahabr.ru/post/149179/

    если кто не понимает "компьютерного слэнга" (хотя я тоже многое не понимаю, но муж как переводчик есть), суть в том главная, что на гмэйле надо использовать двойную авторизацию, те при входе каждый раз перед тем как войти, вам приходит смс с кодом на мобилу и только потом можете войти в почту.
    ну и плюс все пароли хранить в надежных местах надо
    Последний раз редактировалось Fly; 07.08.2012 в 13:34.
    =======
    Сорри за ошибки, пишу с телефона, редактировать лень
    старый профиль с фото http://hlopoty.ru/phorum/profile.php?f=204&id=4562

  2. #2
    Аватар для Ана
    Ана offline СуперСтар Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute
    Регистрация
    05.10.2006
    Сообщений
    36,949
    нихрена не понятно, но страшно) за свою безопасность в инете
    а в других почтовых системах, помимо гмэйла - что безопаснее? мне чет нигде не предлагалась двойная авторизация. а на гмэйле у меня нет почты.

  3. #3
    Аватар для Fly
    Fly offline СуперСтар Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold
    Регистрация
    17.07.2006
    Сообщений
    33,601
    Цитата Сообщение от Ана Посмотреть сообщение
    нихрена не понятно, но страшно) за свою безопасность в инете
    а в других почтовых системах, помимо гмэйла - что безопаснее? мне чет нигде не предлагалась двойная авторизация. а на гмэйле у меня нет почты.
    не знаю что на других, по моему там вообще ничего подобного нет, у меня раньше мыло было только на мэйле, Дима меня переселил на гмэйл и подкачал к нему мэйловский почтарь. те если кто то пишет мне на старое мыло-оно автоматом перенаправляется на гмэйл

    если кратко и криво объяснить статью, чувак увидел красивый адрес в соц сети (твиттере), захотел я так поняла его заграбастать, чтобы это сделать он начала взламывать все пароли, а началось все с мыла, где не было двойной авторизации и амазона, который просто по наличию мыла, адреса, предоставил все пароли явки и прочее, а далее цепочкой пошел взлом айфона, ноута, айпода и пр. короче после всего этого твиттер чувак потерял как и всю свою личную инфу и фотки
    =======
    Сорри за ошибки, пишу с телефона, редактировать лень
    старый профиль с фото http://hlopoty.ru/phorum/profile.php?f=204&id=4562

  4. #4
    Аватар для Apelsinka2303
    Apelsinka2303 offline СуперСтар Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold Apelsinka2303 is a splendid one to behold
    Регистрация
    17.01.2007
    Сообщений
    9,974
    и вывод какой? не фиг сидеть в твитере и хранить фотки электронно
    =======
    Виктория. Не знаю как изменить ник.

  5. #5
    Регистрация
    08.07.2008
    Сообщений
    9,468
    Ага и кредитки на Амазонке лучше регить пустые, докладывать туда по мере необходимости с другой карты только на необходимую покупку
    =======

  6. #6
    Иванов Сергей offline СуперСтар Иванов Сергей 50 Иванов Сергей 50
    Регистрация
    03.02.2006
    Сообщений
    3,924
    Цитата Сообщение от Fly Посмотреть сообщение
    если кратко и криво объяснить статью, чувак увидел красивый адрес в соц сети (твиттере), захотел я так поняла его заграбастать, чтобы это сделать он начала взламывать все пароли, а началось все с мыла, где не было двойной авторизации и амазона, который просто по наличию мыла, адреса, предоставил все пароли явки и прочее, а далее цепочкой пошел взлом айфона, ноута, айпода и пр. короче после всего этого твиттер чувак потерял как и всю свою личную инфу и фотки
    Думаю у таких монстров как твиттер и т.д. есть бэкап и восстановить всю информацию абсолютно не проблема....

  7. #7
    Аватар для Океана
    Океана offline СуперСтар Океана is just really nice Океана is just really nice Океана is just really nice Океана is just really nice Океана is just really nice
    Регистрация
    23.11.2008
    Сообщений
    6,520
    Цитата Сообщение от Иванов Сергей Посмотреть сообщение
    Думаю у таких монстров как твиттер и т.д. есть бэкап и восстановить всю информацию абсолютно не проблема....
    Скорее всего да... Ведь даже у нас был чуть ли не скандал на почве того, что из Одноклассников невозможно полностью и единомоментно удалить информацию, т.к. после удаления пользователем все равно все даные больше года хранятся...
    Про двойной "заход" в почту - ну это же неудобно! Когда тебе надо быстренько глянуть почту с телефона, а тут еще придется с СМС возиться... Понимаю, что так надежнее, но...
    И еще не поняла, а что значит "хранить пароли"? Это как? есть какое-то место, куда ты вписываешь все пароли - типа ******* от почты, а +++++++ от твиттера?! Или как? Просветите....
    =======

  8. #8
    Аватар для Fly
    Fly offline СуперСтар Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold Fly is a splendid one to behold
    Регистрация
    17.07.2006
    Сообщений
    33,601
    Цитата Сообщение от Океана Посмотреть сообщение
    Скорее всего да... Ведь даже у нас был чуть ли не скандал на почве того, что из Одноклассников невозможно полностью и единомоментно удалить информацию, т.к. после удаления пользователем все равно все даные больше года хранятся...
    Про двойной "заход" в почту - ну это же неудобно! Когда тебе надо быстренько глянуть почту с телефона, а тут еще придется с СМС возиться... Понимаю, что так надежнее, но...
    И еще не поняла, а что значит "хранить пароли"? Это как? есть какое-то место, куда ты вписываешь все пароли - типа ******* от почты, а +++++++ от твиттера?! Или как? Просветите....
    Ну берешь все пароли сохраняешь в табличке, на нее саму тоже пароль ставишь, еще и саму папку запрятать можно
    На телефоне сохраняется пароль, но с др телефона уже придется пароль вводить, поэтому двойной вход совершенно не напрягает
    =======
    Сорри за ошибки, пишу с телефона, редактировать лень
    старый профиль с фото http://hlopoty.ru/phorum/profile.php?f=204&id=4562

  9. #9
    Аватар для Ана
    Ана offline СуперСтар Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute Ана has a reputation beyond repute
    Регистрация
    05.10.2006
    Сообщений
    36,949
    Цитата Сообщение от Fly Посмотреть сообщение
    Ну берешь все пароли сохраняешь в табличке, на нее саму тоже пароль ставишь, еще и саму папку запрятать можно
    а если забыл пароль от файла с паролями?))) я предпочитаю 5-10 ходовых паролей хранить в голове, а действительно сложные + редкоупотребимые записываю в книжечку, так в наш компьютерный век уже похоже надежнее) тем более что в книжечке этой у меня черт ногу сломит, посторонний человек среди всякой фигни их еще и не заметит, если специальной цели не имеет искать пароли.

  10. #10
    Аватар для Океана
    Океана offline СуперСтар Океана is just really nice Океана is just really nice Океана is just really nice Океана is just really nice Океана is just really nice
    Регистрация
    23.11.2008
    Сообщений
    6,520
    Цитата Сообщение от Ана Посмотреть сообщение
    а если забыл пароль от файла с паролями?))) я предпочитаю 5-10 ходовых паролей хранить в голове, а действительно сложные + редкоупотребимые записываю в книжечку, так в наш компьютерный век уже похоже надежнее) тем более что в книжечке этой у меня черт ногу сломит, посторонний человек среди всякой фигни их еще и не заметит, если специальной цели не имеет искать пароли.
    +1
    Вот я тоже так делаю. и даже не знала, что где-то на просторах и-нета можно хранить пароли... темнотаааааа я!
    =======

+ Ответить в теме

Комбинированный просмотр


Страница 1 из 2 1 2 >>