Hacker vymazal slavnému novináři všechna data. Stačilo přemluvit Apple

  14:14aktualizováno  14:14
Firma Apple neudělala svému cloudovému nástroji iCloud nejlepší reklamu. Americký novinář ze serveru Gizmodo přišel o gigabajty osobních dat během několika minut. Hacker se přitom nezdržoval prolamováním hesla. Místo toho využil slabiny lidského faktoru, když ho do cizího účtu pustila přímo technická podpora firmy Apple.

Novináři zmizela data z úložiště iCloud od Apple | foto: Mobil iDNES.cz

Máslo na hlavě má také internetový obchod Amazon. Celý podvod totiž umožnily čtyři číslice na jeho stránkách.

"Během jedné hodiny byl zničen celý můj digitální život. Můj Google účet byl prolomen a poté smazán. Pak získali kontrolu nad mým Twitterem, aby do světa vyslali několik rasistických příspěvků. A ze všeho nejhůře: hackeři použili můj iCloud účet, aby na dálku smazali všechna data na mém iPhonu, iPadu a MacBooku," píše zdrcený Mat Honan, redaktor technického serveru Gizmodo.

Selhal Apple a částečně i Amazon

Sociální inženýrství

Pro útok na cizí účet nebo data lze kromě technických prostředků využít i mnohem jednodušší metody. Sociální inženýrství (social engeneering) označuje širokou paletu postupů, které využívají lidských chyb, důvěřivosti nebo ochoty ke krádeži identity a získání přístupu k zabezpečeným systémům a datům.

O popularizaci pojmu se postaral bývalý hacker Kevin Mitnick. Ve své legendární knize Umění klamu (The Art of Deception) popisuje desítky scénářů, kdy drzost, vyřídilka a trpělivost umožnily podvodníkům dostat se k neuvěřitelně zabezpečeným datům nebo účtům.

V první chvíli se Mat Honan domníval, že se někdo dostal k jeho účtu prostřednictvím prolomeného hesla (které bylo ale dostatečně silné a jedinečné). Později se ukázalo, že hackeři se k jeho účtu dostali metodou, které se přezdívá "sociální inženýrství". Jinými slovy, využili lidského faktoru i špatně nastavených zásad v systému zabezpečení Apple.

V pátek kolem páté hodiny večer Mat Honan poprvé zjistil, že se s jeho digitální identitou děje něco podivného. Jeho iPhone se vzdáleně vypnul, po zapnutí jej požádal o číselný kód (který ale Honan neměl nastavený). Obezřetně vypojil ze sítě domácí router, vypnul počítač MacMini a zavolal na podporu Apple. Následovala 90 minut dlouhá konverzace, která k vyřešení problému nevedla. Pouze ukázala rozsáhlost celého problému.

"Apple se při řešení problému vůbec neobtěžoval sdělit mi, že už jim ten den volal někdo, kdo se za mne vydával. Teprve když jsem se jich na to přímo zeptal, potvrdili mi to. A já se jich na to zeptal jen proto, že mi to poradil samotný hacker," stěžuje si Honan.

Jak hacker dokázal přemluvit Apple? Stačila čtyři čísla

V půl páté zavolal na podporu Apple Care někdo, kdo se vydával za Mata Honana. Prý se nemůže dostat do svého e-mailového účtu. Zaměstnanec Apple v tomto okamžiku zásadně selhal, neboť se nezeptal na bezpečnostní otázku, kterou měl Honan nastavenou pro tyto případy. Namísto toho jim stačily údaje, které hacker posbíral různě po internetu, především čtyři poslední čísla Honanovy kreditní karty.

V té době už měl hacker svůj nejtěžší úkol za sebou. Zavolal na linku internetového obchodu Amazon, představil se Honanovým jménem a požádal o přidání nové kreditní karty k účtu. Protože jde o přidání karty, neměl Amazon problém vyhovět. O něco později hacker zavolal, že mu karta byla odcizena a on ji chce zrušit. Jelikož všechna data nadiktoval on sám, neměl problém je nadiktovat znovu. Všechno sedělo.

V tu chvíli ale hacker požádal o něco, na co neměl právo: chtěl přidat nový kontaktní e-mail k Honanovu účtu. Ale podpora Amazonu ví, že hovoří s panem Matem Honanem, vždyť jim právě nadiktoval všechny ověřovací údaje. Přidá tedy e-mail. Hacker pak tento e-mail využil k získání přístupu na Honanův účet na Amazonu a opsal si všechny důležité údaje, především adresu a poslední čtyři čísla kreditní karty (zbytek čísel Amazon z bezpečnostních důvodů skrývá).

Právě tato čtyři čísla pak hacker použil k tomu, aby podporu Apple přesvědčil o oprávněnosti požadavku, a tak získal dočasné heslo k Honanovu iCloud účtu. Od této chvíle už mu nic nestálo v cestě. Každý pokročilejší uživatel by zvládl smazat data stejně, jako to udělal hacker. Jde o standardní funkce, paradoxně zamýšlené jako bezpečnostní opatření.

Poučení: Dvoukrokové ověření, neprovazovat účty, zálohovat

Jak se lépe zabezpečit?

  1. Zálohujte důležitá data, pokud možno dvěma nezávislými způsoby
  2. Dobře si zabezpečte svůj hlavní e-mailový účet (jedinečné silné heslo, ideálně dvoustupňové zabezpečení)
  3. Mějte přehled o tom, kam zadáváte číslo kreditní karty
  4. Buďte opatrní při provazování více účtů do jednoho.

K útoku se přihlásil hacker s přezdívkou Phobia. Ozval se přímo reportérovi, kterého připravil o hromadu osobních dat, včetně všech fotek jeho malé dcerky. Proč? "Ze stejného důvodu, proč jsem vám právě řekl, jak jsem to udělal," odpověděl Phobia. "Chci veřejně upozornit na chyby v zabezpečení, aby je ty firmy opravily." Za smazání osobních dat se omluvil: "I když tohle jsem zrovna nedělal přímo já, omlouvám se. To je hodně vzpomínek. Mně je jen 19, ale kdyby rodiče přišli o řadu záběrů z mého dětství, byl bych bez sebe smutkem."

Honan se ale nezlobí na hackera. "Jsem hlavně naštvaný na sebe. Za to, že jsem nezálohoval svá data. Ale jsem taky rozčilený na celý systém, kterému jsem doteď tolik důvěřoval. Jsem naštvaný na Amazon, za to, že je tak snadné dostat se do mého účtu. Jsem naštvaný na Apple, kterému jsem svěřil tak velkou část svého digitálního života."

Uznává, že do jisté míry hackerům práci usnadnil, protože za dveřmi iCloud účtu na hackery čekaly přístupy k dalším provázaným účtům. "Kdybych použil dvoukrokové ověření, jako nabízí Google, je dost možné, že by k ničemu z toho nedošlo," uznává Honan (více o dvoukrokovém zabezpečení účtu v našem rozhovoru).

Autor:

50. výročí přistání na Měsící

Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

Téma Apollo 11 v článcích Technet.cz:
O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

Nejčtenější

U Prochorovky to bylo jinak. Němci nám kradou tankovou bitvu, zuří Rusko

U Prochorovky se v červenci 1943 odehrála jedna z největších tankových bitev.

Nejslavnější tanková bitva u Prochorovky je ruská propaganda, napsal Die Welt s odkazem na zjištění německých a...

K síti se připojila největší solární elektrárna. Rekord dlouho nevydrží

Pohled na elektrárnu Nur Abú Zabí ze vzduchu

Ve Spojených arabských emirátech k začátku července spustili největší fotovoltaickou elektrárnu na světě. Má maximální...

Amatérský astronom vyfotografoval supertajný americký raketoplán X-37B

Americký raketoplán X-37B na orbitě

Nizozemský pozorovatel satelitů a vědecký novinář Ralf Vandebergh nejspíš udělal nejlepší fotku svého života. Podařilo...

Jeho formule chtěl každý. Autor slavných vystřihovánek slaví devadesátiny

Richard Vyškovský se svým modelem cisternové stříkačky CAS 32 na podvozku Tatra...

Richard Vyškovský je pro laickou veřejnost nepříliš známé jméno, v modelářské komunitě je však doslova celebritou. S...

Největší dobrodružství 20. století začalo o tři čtvrtě sekundy později

Tři Američané právě odstartovali na misi, kterou bedlivě sleduje celý svět.

Ani ostřílený hlasatel vesmírného střediska na Mysu Canaveral nedokáže zakrýt pohnutí. Je 16. července 1969, 9:32 ráno...

Další z rubriky

Za velký výpadek služeb Google mohl přehmat, vysvětlil viceprezident

Výpadek služeb Google v Česku

Viceprezident společnosti Google se omluvil za výpadek, který postihl služby Google Drive a YouTube v USA a v Evropě....

Nenechte se napálit falešnou exekucí. Českem koluje další vlna e-mailů

Ilustrační snímek

Podvodníci zkoušejí nalákat důvěřivce na novou vlnu e-mailů, které vyhrožují falešnou exekucí. Vedle toho zkoušejí i...

Facebook a spol. postihl velký výpadek. Problémy měli lidé v Evropě a USA

Logo Facebooku

Sociální síť Facebook postihl výpadek. Problémy měly tisíce uživatelů po celém světě. Nejvíce potíží hlásili uživatelé...

Moje dcera má dvě mámy. Mám na to právo?
Moje dcera má dvě mámy. Mám na to právo?

Jsem mámou jedné úžasné holčičky, která si žije ve svém batolecím světě a nic ji netrápí. To však bohužel nemohu úplně říct o sobě, tak jsem se rozhodla se ze svých obav a pochyb aspoň vypsat.

Najdete na iDNES.cz