«Эпический» взлом, или Кто виноват?

Пожалуй, показательно, что массово обсуждаемая история произошла именно с журналистом. Его нельзя обвинить в «ламерстве», хотя он готов большую часть вины принять на себя, просто безумное увлечение различными социально-сетевыми инициативами притупляет внимание – слишком много предлагается соблазнов, призванных «упростить» нашу жизнь.

А суть истории в том, что у Мэта Хонана в одночасье были украдены аккаунты Amazon, AppleID, Gmail и Twitter, а плюс к тому – удаленно затерты iPhone, iPad и MacBook. И это все – без каких бы то ни было технических средств и уловок, исключительно за счет социальной инженерии.

Любопытен также момент – а ради чего все это было сделано? Хакер сам связался с Мэтом и сообщил, что изначальной причиной был всего лишь красивый (трехбуквенный) идентификатор в Twitter, но в целом он мол преследовал вполне благородную цель – обратить внимание на проблемы безопасности в социальных сетях, у крупных продавцов и пр. Поэтому кстати и не поленился подробно описать весь механизм.

Не буду пересказывать всю историю, в ней есть любопытные подробности, в которые имеет смысл вникнуть. Порассуждаю только о самом главном – основной потерей, конечно, оказались не аккаунты (хотя из-за них могло бы, пожалуй, пострадать реноме журналиста), а затертые данные. Таким образом создается впечатление, что основная вина как будто лежит на Apple, которая позволила по телефону восстановить «забытый» пароль по «упрощенной» схеме: хакер не смог ответить на секретный вопрос, но точно указал адрес и номер кредитки (последние четыре цифры).

Согласен, выглядит это несколько странно. И теперь я думаю, что, пожалуй, зря возмущался, когда в одном банке по телефону с меня упорно требовали ответ на секретный вопрос, не называя самого вопроса. Правильно делали! :) В конце концов, я же логически вывел, что именно мог «засекретить» в таком ответственном случае…

В описываемой ситуации была названа кредитка, что, видимо, и решило дело. Конечно, ее можно украсть или сфотографировать. Но, видимо, пиетет перед платежными документами у американцев слишком велик. Сегодня Apple приостановила все сколько-нибудь сомнительные способы восстановлений паролей и это является чуть ли не новостью номер 1. Однако, откуда хакер узнал номер кредитки?

В Amazon. Оказывается, он без знания пароля смог по телефону добавить в нужный аккаунт (Мэта) новую кредитку – вероятно, с фальсифицированным номером, а уже с ее помощью восстановить пароль. Здорово, не правда ли? Необходимый при этом адрес Мэта он нашел в публичных источниках, равно как и другую менее важную информацию. Чем объяснить такое попустительство со стороны Amazon? По-моему, только жадностью. То есть для желающих добавить кредитку – потенциальное средство будущих платежей – открыты все пути, не взирая ни на какие риски.

Давеча вот коллега возмущался, что у нас сложно совершать чисто онлайновые покупки. Но исходя из вышеописанного, стоит, пожалуй, даже поприветствовать позицию отечественного бизнеса, который не торопится во всем идти навстречу клиенту. Стоит ли без оглядки спешить в неизведанное?