Может ли один хакер сотрясти основы мироздания до самого до основания? Вопрос, казалось бы, риторический, но злоумышленникам из некоей группировки Clan W3 (или Clan VV3) удалось поставить на уши сразу и Amazon, и Apple, Gizmodo и журнал Wired. Больше всех, правда, досталось первой жертве взлома — журналисту Мэту Хонэну.
Всё началось в конце прошлой недели, когда в официальном твиттере Gizmodo появились ненавистнические высказывания — от лица пресловутого Clanvv3. Администраторы Gizmodo быстро вернули себе контроль над аккаунтом и обвинили в случившемся своего бывшего сотрудника Мэта Хонэна, ушедшего в Wired. Впрочем, скоро выяснилось, что сам Хонэн пострадал куда серьёзнее: у него не только твиттер хакнули, но и добрались до аккаунтов на iCloud, в Amazon и зачистили его личные гаджеты — iPhone, iPad и MacBook Air — от всех данных.
Сам Хонэн изложил свою историю в своём блоге и в большой статье в Wired. По его словам, сначала вскрыли его аккаунт на iCloud, изменили пароль, затем сменили пароль на Gmail, поскольку резервным ящиком для Gmail служил тот же, что и был привязан к iCloud.
Затем взломщики удалённо уничтожили все данные на собственных гаджетах Хонэна, влезли в твиттер и через него получили доступ к твиттеру Gizmodo.
Друзья Хонэна в Gizmodo и Gawker через знакомых в Google и Twitter помогли ему ускорить возвращение его аккаунтов, ему удалось частично восстановить данные на iPad и iPhone. Насколько удалось восстановить MacBook, он нигде писать не стал, лишь отметил, что в Apple над этим работали.
Каким образом злоумышленникам удалось взломать аккаунты Хонэна? Изначально он сам предполагал, что взломщики использовали брутфорс для того, чтобы вычислить его семизначный пароль, состоящий из букв и цифр.
Однако вскоре хакеры сами связались со своей жертвой и заявили, что никакого брутфорса не было: «У меня свои средства влезать в чужие ящики», — заявил хакер.
Впоследствии выяснилось, что злоумышленники использовали социальный инжиниринг, причём изначально они его применили при общении со службой клиентской поддержки Amazon.
Хакер представился Хонэном и сообщил, что хотел бы добавить новый номер кредитной карты к своему аккаунту; назвал полное имя, адрес электронной почты и физический адрес для выставления счетов; затем снова перезвонил в службу поддержки и сообщил, что не может получить доступ к своему счёту. Повторно назвав поддельный номер кредитки, которую якобы надо было добавить, хакер добился того, что ему позволили проассоциировать с аккаунтом Хонэна новый адрес электронной почты; через сайт Amazon можно отправить команду сброса пароля на новом почтовом адресе, при этом пользователю выводятся номера всех кредитных карт, проассоциированных с аккаунтом ранее. Естественно, не полностью — только последние четыре цифры.
В то же самое время техподдержке Apple достаточно знать адрес для выставления счёта и именно те самые последние четыре цифры номера кредитной карты, чтобы выдать временный пароль на доступ к iCloud.
Всё. Total Pwnage, если использовать англоязычный интернет-слэнг.
«Конечно, в большой степени я сам виноват, — написал Мэт Хонэн в своей статье. — Мои аккаунты были соединены друг с другом в гирлянду. Попав в аккаунт на Amazon, взломщики смогли пролезть в мой аккаунт на Apple, это помогло им добраться до Gmail, а оттуда они выудили доступ к Twitter. Но то, что случилось со мной, выявило более чем серьёзные бреши в безопасности служб поддержки, в первую очередь Apple и Amazon».
Естественно, после этой истории и Amazon и Apple поменяли свою политику безопасности. Если говорить конкретнее, то теперь ни в Amazon, ни в Apple невозможно поменять свой пароль по телефону. Сотрудники техподдержки Apple даже не получили формального извещения об этом — у них просто пропала такая возможность.