Hacker vymazal slavnému novináři všechna data. Stačilo přemluvit Apple

Máslo na hlavě má také internetový obchod Amazon. Celý podvod totiž umožnily čtyři číslice na jeho stránkách.

"Během jedné hodiny byl zničen celý můj digitální život. Můj Google účet byl prolomen a poté smazán. Pak získali kontrolu nad mým Twitterem, aby do světa vyslali několik rasistických příspěvků. A ze všeho nejhůře: hackeři použili můj iCloud účet, aby na dálku smazali všechna data na mém iPhonu, iPadu a MacBooku," píše zdrcený Mat Honan, redaktor technického serveru Gizmodo.

Selhal Apple a částečně i Amazon

Sociální inženýrství Pro útok na cizí účet nebo data lze kromě technických prostředků využít i mnohem jednodušší metody. Sociální inženýrství (social engeneering) označuje širokou paletu postupů, které využívají lidských chyb, důvěřivosti nebo ochoty ke krádeži identity a získání přístupu k zabezpečeným systémům a datům. O popularizaci pojmu se postaral bývalý hacker Kevin Mitnick. Ve své legendární knize Umění klamu (The Art of Deception) popisuje desítky scénářů, kdy drzost, vyřídilka a trpělivost umožnily podvodníkům dostat se k neuvěřitelně zabezpečeným datům nebo účtům.

V první chvíli se Mat Honan domníval, že se někdo dostal k jeho účtu prostřednictvím prolomeného hesla (které bylo ale dostatečně silné a jedinečné). Později se ukázalo, že hackeři se k jeho účtu dostali metodou, které se přezdívá "sociální inženýrství". Jinými slovy, využili lidského faktoru i špatně nastavených zásad v systému zabezpečení Apple.

V pátek kolem páté hodiny večer Mat Honan poprvé zjistil, že se s jeho digitální identitou děje něco podivného. Jeho iPhone se vzdáleně vypnul, po zapnutí jej požádal o číselný kód (který ale Honan neměl nastavený). Obezřetně vypojil ze sítě domácí router, vypnul počítač MacMini a zavolal na podporu Apple. Následovala 90 minut dlouhá konverzace, která k vyřešení problému nevedla. Pouze ukázala rozsáhlost celého problému.

"Apple se při řešení problému vůbec neobtěžoval sdělit mi, že už jim ten den volal někdo, kdo se za mne vydával. Teprve když jsem se jich na to přímo zeptal, potvrdili mi to. A já se jich na to zeptal jen proto, že mi to poradil samotný hacker," stěžuje si Honan.

Jak hacker dokázal přemluvit Apple? Stačila čtyři čísla

V půl páté zavolal na podporu Apple Care někdo, kdo se vydával za Mata Honana. Prý se nemůže dostat do svého e-mailového účtu. Zaměstnanec Apple v tomto okamžiku zásadně selhal, neboť se nezeptal na bezpečnostní otázku, kterou měl Honan nastavenou pro tyto případy. Namísto toho jim stačily údaje, které hacker posbíral různě po internetu, především čtyři poslední čísla Honanovy kreditní karty.

V té době už měl hacker svůj nejtěžší úkol za sebou. Zavolal na linku internetového obchodu Amazon, představil se Honanovým jménem a požádal o přidání nové kreditní karty k účtu. Protože jde o přidání karty, neměl Amazon problém vyhovět. O něco později hacker zavolal, že mu karta byla odcizena a on ji chce zrušit. Jelikož všechna data nadiktoval on sám, neměl problém je nadiktovat znovu. Všechno sedělo.

V tu chvíli ale hacker požádal o něco, na co neměl právo: chtěl přidat nový kontaktní e-mail k Honanovu účtu. Ale podpora Amazonu ví, že hovoří s panem Matem Honanem, vždyť jim právě nadiktoval všechny ověřovací údaje. Přidá tedy e-mail. Hacker pak tento e-mail využil k získání přístupu na Honanův účet na Amazonu a opsal si všechny důležité údaje, především adresu a poslední čtyři čísla kreditní karty (zbytek čísel Amazon z bezpečnostních důvodů skrývá).

Právě tato čtyři čísla pak hacker použil k tomu, aby podporu Apple přesvědčil o oprávněnosti požadavku, a tak získal dočasné heslo k Honanovu iCloud účtu. Od této chvíle už mu nic nestálo v cestě. Každý pokročilejší uživatel by zvládl smazat data stejně, jako to udělal hacker. Jde o standardní funkce, paradoxně zamýšlené jako bezpečnostní opatření.

Poučení: Dvoukrokové ověření, neprovazovat účty, zálohovat

Jak se lépe zabezpečit? Zálohujte důležitá data, pokud možno dvěma nezávislými způsoby Dobře si zabezpečte svůj hlavní e-mailový účet (jedinečné silné heslo, ideálně dvoustupňové zabezpečení) Mějte přehled o tom, kam zadáváte číslo kreditní karty Buďte opatrní při provazování více účtů do jednoho.

K útoku se přihlásil hacker s přezdívkou Phobia. Ozval se přímo reportérovi, kterého připravil o hromadu osobních dat, včetně všech fotek jeho malé dcerky. Proč? "Ze stejného důvodu, proč jsem vám právě řekl, jak jsem to udělal," odpověděl Phobia. "Chci veřejně upozornit na chyby v zabezpečení, aby je ty firmy opravily." Za smazání osobních dat se omluvil: "I když tohle jsem zrovna nedělal přímo já, omlouvám se. To je hodně vzpomínek. Mně je jen 19, ale kdyby rodiče přišli o řadu záběrů z mého dětství, byl bych bez sebe smutkem."

Honan se ale nezlobí na hackera. "Jsem hlavně naštvaný na sebe. Za to, že jsem nezálohoval svá data. Ale jsem taky rozčilený na celý systém, kterému jsem doteď tolik důvěřoval. Jsem naštvaný na Amazon, za to, že je tak snadné dostat se do mého účtu. Jsem naštvaný na Apple, kterému jsem svěřil tak velkou část svého digitálního života."

Uznává, že do jisté míry hackerům práci usnadnil, protože za dveřmi iCloud účtu na hackery čekaly přístupy k dalším provázaným účtům. "Kdybych použil dvoukrokové ověření, jako nabízí Google, je dost možné, že by k ničemu z toho nedošlo," uznává Honan (více o dvoukrokovém zabezpečení účtu v našem rozhovoru).