Журналист рассказал, каким образом хакер получил доступ к его аккаунту iCloud

В воскресенье репортер веб-сайта Wired Мэт Хонан сообщил, что хакер получил доступ к его аккаунту на iCloud и удалил всю информацию с его MacBook Air, iPhone и iPad, а затем также получил доступ к его аккаунтам в Twiteer и Gmail. Сегодня Хонан детально описал, каким образом хакер взломал его аккаунт.

По-видимому, чтобы получить временный пароль, пользователям нужно всего лишь сообщить Apple Support четыре последних цифры своей кредитной карточки и адрес, который был указан при открытии счета в банке. Временный пароль предоставляет неограниченный доступ к аккаунту пользователя на iCloud. Представитель Apple Натали Керрис сделала заявление, отметив, что в случае с аккаунтом Хонана процедуры проверки не были полностью соблюдены.

«Apple серьёзно относится к защите данных пользователей, и прежде чем изменить пароль Apple ID проводит множество различных проверок. В этом конкретном случае данные пользователя были скомпрометированы человеком, который получил личную информацию этого пользователя. Кроме того, мы обнаружили, что процедуры проверки не были полностью соблюдены. Чтобы обеспечить защиту данных наших пользователей, мы тщательно проверяем все действия, связанные с изменением паролей аккаунтов».

Wired решил самостоятельно проверить, работает ли данная техника доступа к аккаунту. Ответ положительный: веб-ресурс смог получить доступ к другому аккаунту на iCloud, сообщив только адрес владельца карточки и четыре последних цифры кредитной карточки.

Хонан отметил, что адрес владельца карточки можно легко узнать из общедоступных адресных справочников. Что касается четырех последних цифр карточки, то, по словам Хонана, для их получения хакер использовал лазейку в системе защиты Amazon. Для этого нужно совершить всего два телефонных звонка. При первом звонке вы можете добавить вторую кредитную карточку к своему аккаунту на Amazon, сообщив своё имя, адрес электронной почты и адрес, указанный при регистрации аккаунта. Второй звонок позволяет вам добавить второй адрес электронной почты, сообщив данные только что добавленной кредитной карточки. Новый адрес почты обеспечивает доступ ко всем данным аккаунта, включая последние четыре цифры первой кредитной карточки.