iCloud 账号入侵细节公开

公司

2012-08-07 16:00

Mat Honan 在个人博客里面写了一些关于他的 “被黑” 经历,提到黑客通过 “社会工程学” 的方式,避开了苹果客服的安全问题,顺利取得 iCloud 账号的控制权。但和这部分有关的描述,只有一句话。

Honan 曾承诺将在《连线》上详细解释黑客是如何成功重设 iCloud 账户密码,今天他兑现了诺言

在发现自己的 iPhone、iPad、MacBook Air 都被黑客设置了 PIN 码,无法进入操作系统之后,Honan 打电话给 AppleCare,希望通过官方渠道取回自己的账号。但经历了一个半小时,Honan 总是无法通过 “安全问题” 的回答。若非苹果的接线员偶然称呼他为 “Mr. Herman”,而非 “Mr. Honan”,他还不知道是为什么。

最终苹果客服让他通过技术支持服务恢复自己的账号。所谓技术支持,就是要提交能够验证你个人身份的资料,当这些资料都准确无误,那么你就可以重新设置自己的账号,包括:一个账单地址,信用卡最后四位数字。

这就是问题所在,只要获得这两个关键信息,那么谁都可能获得他人的 iCloud 账号。

在 Twitter 上,黑客主动与 Hoanon 联系,声称自己 “没有尝试去猜、暴力破解密码”,也没有特别针对他而劫持账号。黑客完全不知道他的 Twitter 账号与 Gizmodo 账号相连。对于他来说,碰到 Honan 纯属运气好,偶然间钓到一条大鱼。

为了得到 Honan 的 Twitter 账号密码,黑客下了一定功夫做背景调查:他发现 Honan 的 Twitter 账号与个人网站相连。而在个人网站上,黑客发现了 Gmail 地址。他猜这个 Gmail 地址可能会被用于 Twitter 的账号,于是他在 Google 的 “密码恢复” 页面输入 Gmail 地址,发现其它与这个地址相关连的电子邮箱:mn*****@me.com——显然这个邮箱和 Apple ID 相连。

黑客说,你可以劫持任何一个与 Apple 相连的邮箱。

通过 Spokeo、WhitePages 以及 PeopleSmart 等网络上公开的资料,黑客得知了 Honan 的账单地址。而信用卡的后四位数字,只要向 Amazon 打两个电话便可得知。

  • 第一通电话告诉他们,你是账户的所有人,而且打算为账户添加一个信用卡账号。然后,你只要告诉他们名字,一个相连的电子邮件地址,一个账单地址。
  • 第二通电话告诉他们,你的账户丢了,然后给出第一通电话中所使用的名字、新的信用卡号码、账单地址这些信息,Amazon 就允许你使用另外一个邮箱来接收重设密码的邮件。
  • 然后,你到 Amazon 的网站上向自己发送一封重设密码的邮件,这个邮件的内容可以看到你的信用卡号码——虽然没有全部显示,只显示最后四个数字,但黑客已经达到获得关键信息的目的。

然后黑客打电话给 AppleCare,告诉 Honan 的名字、账单地址以及信用卡最后四位数字,重设了 Honan 的 iCloud 账号密码,相继获得 Honan 的 Gmail、Twitter 等密码的控制权。然后,黑客通过 Find My iPhone、Find My Mac 等功能,清洗了 Honan 所有的资料,也许还盗取了一些资料。

完整整理出黑客的手法之后,Honan 讽刺道:

这四个特别的数字,在 Amazon 看来还不够重要,可以在网络上清晰显示;而同样是这四个数字,苹果却认为足以安全到确认关键信息。

也许保存着我们个人信息的公司,在披露个人信息的时候统需要统一口径,否则类似的事件将可能陆续发生。

事件发生后,Google 改变了 “密码恢复” 页面的选项,当人们输入邮箱地址之后,所得到的显示结果不再包含邮箱后缀,比如:any*****@**.com。

在中国,这种方法是否行之有效?

我尝试致电 AppleCare 客服,称自己的密码丢失无法重设,在排除电子邮箱和安全问题之后,对方称使用 “最后的一个方法”,直接登陆苹果官网的 iTunes 支持页面,登记自己遇到的问题,等待 iTunes 部门的专员与我联系。后来,iTunes 的专员发了一封邮件给我,而我则顺势询问恢复账号的各种手段,我收到回复是:

如您都无法进行重置的话,我们可帮助您重置密码。但为了保证帐户安全,Apple 需要提供以下信息之一:

– 任意一次购物的订单号
您用于 iTunes Store 帐户的信用卡卡号的末四位
– 其中一个安全提示问题的答案

以及以下列表中的两项:

– 您的出生日期
– 帐户上列出的帐单地址
– 帐户上的电话号码

收到您的回复后,Apple 会验证帐单信息,通过后,重置帐号密码,并通过邮件的形式告知您相关密码情况。

以上回复表明,若排除电子邮箱和安全问题,最终仍可通过账单地址、电话号码以及信用卡卡号末四位数字充值账号——和其它地区一样。不过在国内为 Apple ID 绑定了信用卡的用户依然只是少数,大多数付费用户选择通过银联卡向账户充值的方式来购买 iTunes Store、App Store 上面的产品。

对于 Honan 这起事件,苹果发言人 Natalie Kerris 回应如下:

苹果十分重视消费者的隐私,在重设 Apple ID 密码之前,会先进行多种方式的核实。在这件事中,这个人(黑客)是先有消费者的个人信息之后,才获得了消费者的相关数据。此外,我们发现公司内部的政策并未得到完整执行。我们正在检讨重设密码的流程,确保用户的数据获得妥善保护。

 

题图来自 Apple-ideas

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中