Jak przywiązanie do jednej firmy i słabe hasło mogą zrujnować cyfrowe życie
Wyobraźcie sobie, że w ciągu kilku minut tracicie swoje elektroniczne dane. Dostępy do kont pocztowych, telefonu, tabletu, komputera, wraz ze wszystkimi danymi. Oczywiście możecie w końcu iść na spacer, ale scenariusz może być przerażający.
Dokładnie taka sytuacja spotkała wczoraj jednego z byłych redaktorów serwisu Gizmodo (obecnie piszącego dla Wired), Mata Honana. Stracił dostęp do swoich najważniejszych kont, telefonu, tabletu i laptopa w ciągu kilku minut. I do tej pory ich nie odzyskał. Jego historia stanowi dobrą nauczkę dla użytkowników „trzymających wszystkie jabłka w jednym koszyku”.
Utrata elektronicznego życia w 15 minut
Gdy Mat bawił się z córką, zauważył, że padł jego iPhone. Nie zdziwiło go to specjalnie, ponieważ zdarzało się już wcześniej. Po restarcie telefonu podał swoje dane iCloud, by przywrócić go z backupu, ale nie mógł się zalogować do usługi. To również nie spowodowało jeszcze paniki. Podeszdł więc do swojego MacBooka, by tam przywrócić telefon do życia. Niestety, MacBook również padł i poprosił o czterocyfrowy kod PIN. Mat nie znał żadnego czterocyfrowego PINu, więc sięgnął po iPada. Kiedy zobaczył, że również iPad nie żyje, zaczął się martwić.
Zadzwonił do wsparcia Apple z iPhona swojej żony, jednocześnie próbując zalogować się z jej komputera do swojej poczty. Okazało się, że ktoś zmienił mu hasło do Gmaila. Zapasowe konto email było w iCloudzie, więc nie mógł go odzyskać (hasło do iCloud również zostało zmienione). Do tego ktoś przejął jego konto na Twitterze (@mat) oraz, przy okazji, konto @Gizmodo, które kiedyś powiązał ze swoim. Chwilę potem okazało się, że jego konto w Gmailu zostało już usunięte, a sposobem jego odzyskania było odebranie smsa na telefonie, który nie działała.
Wpisy na przejętym koncie Gizmodo
Nieodwracalne straty
Dział wsparcia użytkownika w Apple wiele nie pomógł. Nie mógł nawet zatrzymać procesu zdalnego usuwania danych z urządzeń. Mimo wsparcia kolegów z poprzedniej pracy, którzy mają bezpośrednie numery telefonów do pracowników Googla, Appla i Twittera, do tej pory nie udało mu się odzyskać ani swoich kont, ani urządzeń. Apple mówi, że zdalne czyszczenie urządzenia jest wyjątkowo skuteczne i może być konieczne wynajęcie firmy specjalizującej się w odzyskiwaniu danych. Prawdopodobnie Mat stracił wszystkie zdjęcia, dokumenty i cokolwiek jeszcze zgromadził w elektronicznej formie przez ostatni rok. A przecież miał kopie bezpieczeństwa – szkoda tylko, że tej samej chmurze.
Jak do tego doszło?
Ktoś (do włamania przyznała się grupa Clan Vv3) musiał odgadnąć (lub w inny sposób pozyskać) hasło Mata do konta iCloud. Hasło miało tylko 7 znaków i Mat przyznaje, że korzystał z niego od wielu lat (choć podobno tylko w tym serwisie). Od tego wszystko się zaczęło. Włamywacze najpierw zmienili jego hasło do iCloud. Chwilę potem zresetowali jego hasło go Gmaila, korzystając z zapasowego konta email w iCloud. Następnie zdalnie wyczyścili kolejno iPhona, iPada i MacBooka. Potem już tylko przejęli konto Twittera, by powiadomić świat o dokonanych zniszczeniach.
Wpisy na Twitterze Mata
Nauka na przyszłość
Oprócz oklepanego „korzystaj z silnych haseł” i „używaj dwuczynnikowej weryfikacji” można tym razem pokusić się o „nie wkładaj wszystkich jabłek do jednego koszyka”. Co prawda transfer plików między urządzeniami Apple a sprzętem innych producentów to bardzo bolesna operacja (chyba że skorzysta się z usługi typu Dropbox), ale wygląda na to, że powierzenie całego swojego elektronicznego sprzętu w opiekę jednego dostawcy nie jest najlepszym pomysłem. I ostatnia uwaga – róbcie backupy. Nie tylko w chmurze.
Aktualizacja: Mat ogłosił na Twitterze, że włamywacze zresetowali jego hasło Apple przez social engineering, wykorzystując dostępne dane.
Co ciekawe, Apple miewało już ciekawe wpadki w procedurze resetu hasła.
Podobne wpisy
- Operacja Triangulacja, czyli jak rosyjskie służby sieją dezinformację w oparciu o cudze badania
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)
Tak się kończy używanie iSzajsu.
A.. gdzie.. gdzie dokładnie zawiniło Apple?
w całej swojej istocie …
Nie ma bata, dane trzeba przechowywać w różnych miejscach. Najbezpieczniejsze są dyskietki – to co na nich zapisałem w 2003 roku, obecnie można odtworzyć tylko na unikatowym komputerze pani Krysi z ZUS-u.
Są napędy dyskietek na USB. ja polecam raczej dysk przenośny lub podłączony lokalnie NAS.
Ludzie dzielą się na tych co robią backup’y i na tych, którzy zaczną je robić ;D
Straszne :P, niczym bramka Kuszczaka :D
Przepraszam, ale troche bzdurne wnioski – po pierwsze – gosciu nie korzystal tylko z jednego rozwiazania – korzystal z rozwiazan Apple’a, Google’a, Twitter’a i jakiegos telekomu. Jego bledem bylo uzycie zbyt prostego hasla („ktorego uzywal przez wiele lat ale tylko w tym serwisie”, ktory istnieje od roku) oraz brak myslenia. Powiazal ze soba konta w glupi sposob, nie wpadl na to, ze skoro ktos mu zablokowal telefon a on potrzebuje odebrac smsa, to wystarczy przelozyc karte, a nie dzwonic po prywatnych kontaktach w firmach.
To czy mialby backup u Apple’a, Google’a czy firmie zewnetrznej – nie ma tutaj znaczenia – przez jedno haslo, glupie skonfigurowanie reszty sprawil, ze ci ludzi przejeli dostep do jego glownego konta i dostali dostep do wszystkich serwisow w ktorych byl zarejestrowany – to czy usuneliby backup z jednego czy drugiego serwera nie ma juz znaczenia. Jakby trzymal dane/backup na Dropbox’ie (ktory z tego co pamietam w zeszlym roku mial znacznie wieksza wpadke [jezeli ta sytuacje ze strony kogokolwiek innego niz ow redaktor], gdzie dalo dostep do zasobow swoich uzytkownikow) to i tamte dane by polecialy.
To tak jakby umiescic klucz do swojego domu pod wycieraczka i miec pretensje do producenta drzwi, ze ktos sprawdzil pod wycieraczka, wszedl mu do domu i narobil balaganu (bo patrzac na to z tej perspektywy – to narobili mu tylko balaganu – znacznie gorzej byloby gdyby wlamali sie na jego urzadzenia i ukradli dane oraz zaczeli go podsluchiwac).
Głównym problemem było korzystanie z trzech urządzeń, zabezpieczonych przed wyczyszczeniem do zera jednym i tym samym hasłem, co doprowadziło do utraty danych. Konta email były wtórne. A zabezpieczeniem może być backup offline (i offsite).
> To czy mialby backup u Apple’a, Google’a czy firmie zewnetrznej
Zaraz zaraz! Kopię danych gdzieś na serwerach jakiejś firmy nazywasz backupem?
Jedyny sensowny backup to backup przechowywany na nosniku bedącym fizycznie w naszej dyspozycji: przenośnym dysku, NAS-ie, w ostateczności nawet na płytach DVD. Ale nic, do czego dostęp wymaga skorzystania z jakichs zewnętrznych usług, kont i serwerów.
Ale mu psikusa kumple zrobili.
@shw iCloud ma hasło AppleID więc mógł go używać przez kilka lat. Jednak miał za słabe zabezpieczenia, gdyby miał weryfikacje dwuetapową w gmailu (i też nie tylko jeden telefon tylko dwa i nie dwa iphony tylko chociażby zwykła stara nokia z prepaidem żeby sms doszedł) to większość całej historii by się nie wydarzyła.
Co do apple to jest bez sensu ze jest tylko jedno hasło które daje dostęp do karty debetowej/kredytowej, naszych urządzeń i danych na serwerze zewnętrznym, niby google i microsoft też tak robią ale w google jest możliwość niezłego zabezpieczenia swojego dorobku danych w ms tego jeszcze nie widziałem i w apple też nie, a niestety teraz trzeba się pomęczyć żeby dane były bezpieczne.
Samo hasło w dzisiejszych czasach to banał a jak gość miał słowo plus rok urodzenia to niech się nie dziwi, że tak akcja wyszła
W USA jak najbardziej są sprzedawane najprostsze telefony z karta prepaid i to za kilkanaście $. Kłopot w tym, że SMS czasami długo dochodzi, ale taki nie-smartfon awaryjny to dobre wyjście również dlatego, że jego bateria jest trwalsza od baterii smartfona. Zaczyna się nawet trend noszenia dunphonów, czyli właśnie prostych telefonów na zakrapiane imprezy, bo zgubienie lub kradzież takiego telefonu mniej boli z uwagi na jego małą wartość. Do kompletu karta SIM w takim telefonie powinna być zarejestrowana, co pozwoli odzyskać numer w salonie operatora. Poza tym niektóre sieci pozwalają mieć dwie aktywne karty w dwóch telefonach, ale to raczej rzadkość (to było przydatne w czasach telefonów samochodowych, obecnie już nieużywanych i coraz częściej nawet zakazanych).
Dumbphone ! ! !
Firmy usługowe mogłyby się w bardzo banalny sposób zabezpieczyć użytkownika. Wystarczy kasować dane po powiedzmy 14 dniach. Robią tak niektóre MMO. Kasowanie postaci po 7 dniach w Vindictus.
Stara odwieczna zasada, jak na kogoś liczyć to tylko na siebie. W chmurze to mozna divxa czy tam inną mp3 trzymać, ale własne dokumenty toć to iście amerykański idiotyzm. Oby więcej takich akcji, oby więcej leniwych jankeskich tyłków zostało cyfrowo skopanych.