X

Busque em mais de 20.000 artigos de nosso acervo.

Novidades pela net

Brechas de segurança da Apple e da Amazon permitem invasão do iCloud sem usar força bruta


Mat Honan é repórter da Wired e trabalhava no Gizmodo US. Depois que um hacker invadiu sua conta do iCloud, ele perdeu acesso à sua conta do Google, além dos seus arquivos no iPhone, iPad e MacBook. Como a Apple permite uma falha de segurança tão grande? A empresa respondeu, e tem mais: Mat explica que a Amazon também está envolvida.

Como tudo aconteceu

Mat explica na Wired como tudo aconteceu. O hacker não queria estragar a vida digital dele – só queria acesso à conta do Twitter, só pelo lulz. No entanto, ele conseguiu bem mais do que isso.

O hacker, que se identifica como Phobia, começou a pesquisar sobre Mat. No Twiter, ele encontrou a página pessoal do repórter, que tinha seu endereço do Gmail. O hacker assumiu que o Gmail estaria ligado ao Twitter, e pediu para recuperar a senha do e-mail.

Na página do Google, aparece parte do e-mail secundário que vai receber a senha provisória: era m••••[email protected]. Foi fácil adivinhar o endereço completo, e Phobia diz que “é possível invadir qualquer email associado à apple”.

A AppleCare fornece, por telefone, uma senha temporária para seu AppleID, caso você a esqueça. Eles exigem três informações: seu e-mail, endereço de cobrança e quatro últimos dígitos do cartão de crédito. O endereço de cobrança foi fácil: está no “whois” do domínio web pessoal do Mat. Uma busca simples revela isso.

O número do cartão exige mais trabalho, e envolve a Amazon. Mat explica que, basicamente, você liga para a Amazon, e pede para inserir um novo cartão de crédito. (Há sites que geram um número de cartão falso, mas que parece autêntico.) Eles pedem dados que o hacker já tinha, como e-mail e endereço físico.

Depois, você liga de novo dizendo: “ops, esqueci minha senha!” A Amazon pede para confirmar alguns dados, que o hacker já tem – inclusive o novo número do cartão. Assim, você tem acesso à conta da Amazon e aos quatro últimos dígitos do cartão. Pronto!

Então o hacker ligou para a AppleCare, e obteve uma senha temporária. A partir daí, ele teve acesso à conta da Apple, depois à conta do Google, e por fim à conta do Twitter – o objetivo do hacker. Phobia diz que não estava sozinho: um comparsa fez a parte da Amazon, e resolveu deletar os arquivos do Mat via apagamento remoto (remote wipe).

A resposta da Apple

A Wired entrou em contato com a Apple. Uma representante da empresa disse que:

A Apple leva a sério a privacidade dos clientes, e exige diversas formas de verificação antes de redefinir uma senha do Apple ID. Neste caso particular, os dados do cliente foram comprometidos por uma pessoa que obteve informações pessoais sobre o cliente. Além disso, descobrimos que nossas próprias políticas internas não foram seguidas completamente. Analisaremos todos os nossos processos para redefinir senhas de conta, a fim de garantir que os dados de nossos clientes sejam protegidos.

Mat não se convenceu muito de que as políticas “não foram seguidas completamente”. Ele confirmou duas vezes com a AppleCare que o procedimento foi seguido à risca. “Se eu for vítima da Apple não seguir procedimentos internos, então o problema se difundiu”, diz ele na Wired.

Na verdade, a Wired tentou repetir a técnica do hacker em outra conta da Apple – e deu certo. Mat diz que “a Apple não comentou se está considerando usar autenticação mais forte”. A Amazon não comentou o assunto com a Wired.

Como se prevenir

Com mais detalhes, dá para tirar mais lições do caso:

  • Desligue o Find My Mac;
  • Desvincule o iCloud de outras contas (como Gmail), pelo menos por enquanto;
  • Use autenticação de dois passos no seu e-mail (Google/Yahoo/Hotmail);
  • Faça backup dos seus dados, especialmente offline – não confie apenas na nuvem.

Mat diz que o “Find My iPhone tem sido um serviço brilhante da Apple”, só que a implementação do Find My Mac é falha. Se alguém tiver acesso à sua conta do iCloud, você não pode fazer nada para impedir que o computador delete tudo remotamente.

Além disso, ele lembra que se tivesse ativado a autenticação de dois passos no Gmail, ele teria contido a invasão. Se a conta .me não estivesse vinculada ao Gmail, ele também evitaria todo esse problema.

E o prejuízo poderia ser bem maior se o hacker decidisse usar a conta da Amazon. Felizmente, isso não aconteceu. Mas se você quer ficar realmente seguro, é melhor não guardar números de cartão de crédito em sites de compras. É possível contestar compras não feitas por você com a operadora do cartão, mas isso é uma potencial dor de cabeça.

Mat já restaurou sua vida digital – conta do Google, do Twitter, e (parte dos) seus arquivos. Ele vai explicar amanhã, num artigo da Wired, como conseguiu isso. [Wired via Gizmodo US]

Imagem por gualtiero boffi/Shutterstock

eb di
eb NTVaaIGAU

Via RSS de Gizmodo Brasil

Leia em Gizmodo Brasil

Comente este artigo

Populares

Topo
http://enterslots.epizy.com/ http://cair138.epizy.com/ http://sido247.epizy.com/ http://omega89.epizy.com/ http://merdeka138.epizy.com/ 7meter slot 7winbet abcslot https://obor138.web.fc2.com/ https://monsterbola.web.fc2.com/ https://daget77slot.web.fc2.com/ star77 138 slot istana77 mega138 cuan138 nuke gaming slot grandbet infini88 pg slot baccarat casino idn live idn poker sbobet tangkas88 slot sbobet88 slot deposit dana joker123 autowin88 zeus138 dewagg roma77 77lucks bos88 ligadewa sonic77 168 slot