Вернуться   Форум Первоуральска > Сотовая связь / Интернет/ Компьютеры > Php, SQL, html, cgi...
Регистрация Ф.А.К. Пользователи Календарь Онлайн игры Поиск Сообщения за день Все разделы прочитаны

Php, SQL, html, cgi... С вас вопросы, с нас ответы.

Ответ
 
Опции темы Рейтинг: Рейтинг темы: Голосов - 3, средняя оценка - 4.67. Опции просмотра
Старый 08.08.2012, 10:54   #1
Хаген
стучу в небеса...
 
Аватар для Хаген
 

Регистрация: 22.12.2004
Адрес: ...и слушаю отзвуки
Сообщения: 7,160
Моё настроение:
Репутация: 529314
Отправить сообщение для  Хаген с помощью ICQ
Epic Hacking



Очень интересная статья появилась на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.
__________________
Winter has passed
Хаген вне форума   Ответить с цитированием
Старый 08.08.2012, 11:04   #2
Pavel
В поисках...
 
Аватар для Pavel
 

Регистрация: 09.04.2006
Возраст: 28
Сообщения: 4,986
Моё настроение:
Репутация: 483792
Отправить сообщение для  Pavel с помощью ICQ
Re: Epic Hacking

могееееттт
__________________
Очень часто мы выбираем не из того, что хотим иметь, а из того, что боимся потерять....
Pavel вне форума   Ответить с цитированием
Старый 08.08.2012, 11:07   #3
MadMax
 
Аватар для MadMax
 

Регистрация: 02.02.2008
Сообщения: 3,530
Моё настроение:
Репутация: 427380
Отправить сообщение для  MadMax с помощью ICQ
Re: Epic Hacking

Посону, наверное, грустно сейчас(
__________________
MadMax вне форума   Ответить с цитированием
Старый 08.08.2012, 11:25   #4
H_S_C_M
 
Аватар для H_S_C_M
 

Регистрация: 11.02.2004
Возраст: 39
Сообщения: 11,899
Моё настроение:
Репутация: 628458
Отправить сообщение для  H_S_C_M с помощью ICQ
Re: Epic Hacking

Как такового взлома не было, а была применена социальная инженерия.
__________________
H_S_C_M вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы
Опции просмотра Оценка этой теме
Оценка этой теме:

Ваши права в разделе
Вы не можете создавать темы
Вы можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход


Часовой пояс GMT +6, время: 03:13.


@ 2002-2018