_Cibersegurança

Brechas de segurança da Apple e da Amazon permitem invasão do iCloud sem usar força bruta

Mat Honan é repórter da Wired e trabalhava no Gizmodo US. Depois que um hacker invadiu sua conta do iCloud, ele perdeu acesso à sua conta do Google, além dos seus arquivos no iPhone, iPad e MacBook. Como a Apple permite uma falha de segurança tão grande? A empresa respondeu, e tem mais: Mat explica […]

Mat Honan é repórter da Wired e trabalhava no Gizmodo US. Depois que um hacker invadiu sua conta do iCloud, ele perdeu acesso à sua conta do Google, além dos seus arquivos no iPhone, iPad e MacBook. Como a Apple permite uma falha de segurança tão grande? A empresa respondeu, e tem mais: Mat explica que a Amazon também está envolvida.

Como tudo aconteceu

Mat explica na Wired como tudo aconteceu. O hacker não queria estragar a vida digital dele – só queria acesso à conta do Twitter, só pelo lulz. No entanto, ele conseguiu bem mais do que isso.

O hacker, que se identifica como Phobia, começou a pesquisar sobre Mat. No Twiter, ele encontrou a página pessoal do repórter, que tinha seu endereço do Gmail. O hacker assumiu que o Gmail estaria ligado ao Twitter, e pediu para recuperar a senha do e-mail.

Na página do Google, aparece parte do e-mail secundário que vai receber a senha provisória: era m••••n@me.com. Foi fácil adivinhar o endereço completo, e Phobia diz que “é possível invadir qualquer email associado à apple”.

A AppleCare fornece, por telefone, uma senha temporária para seu AppleID, caso você a esqueça. Eles exigem três informações: seu e-mail, endereço de cobrança e quatro últimos dígitos do cartão de crédito. O endereço de cobrança foi fácil: está no “whois” do domínio web pessoal do Mat. Uma busca simples revela isso.

O número do cartão exige mais trabalho, e envolve a Amazon. Mat explica que, basicamente, você liga para a Amazon, e pede para inserir um novo cartão de crédito. (Há sites que geram um número de cartão falso, mas que parece autêntico.) Eles pedem dados que o hacker já tinha, como e-mail e endereço físico.

Depois, você liga de novo dizendo: “ops, esqueci minha senha!” A Amazon pede para confirmar alguns dados, que o hacker já tem – inclusive o novo número do cartão. Assim, você tem acesso à conta da Amazon e aos quatro últimos dígitos do cartão. Pronto!

Então o hacker ligou para a AppleCare, e obteve uma senha temporária. A partir daí, ele teve acesso à conta da Apple, depois à conta do Google, e por fim à conta do Twitter – o objetivo do hacker. Phobia diz que não estava sozinho: um comparsa fez a parte da Amazon, e resolveu deletar os arquivos do Mat via apagamento remoto (remote wipe).

A resposta da Apple

A Wired entrou em contato com a Apple. Uma representante da empresa disse que:

A Apple leva a sério a privacidade dos clientes, e exige diversas formas de verificação antes de redefinir uma senha do Apple ID. Neste caso particular, os dados do cliente foram comprometidos por uma pessoa que obteve informações pessoais sobre o cliente. Além disso, descobrimos que nossas próprias políticas internas não foram seguidas completamente. Analisaremos todos os nossos processos para redefinir senhas de conta, a fim de garantir que os dados de nossos clientes sejam protegidos.

Mat não se convenceu muito de que as políticas “não foram seguidas completamente”. Ele confirmou duas vezes com a AppleCare que o procedimento foi seguido à risca. “Se eu for vítima da Apple não seguir procedimentos internos, então o problema se difundiu”, diz ele na Wired.

Na verdade, a Wired tentou repetir a técnica do hacker em outra conta da Apple – e deu certo. Mat diz que “a Apple não comentou se está considerando usar autenticação mais forte”. A Amazon não comentou o assunto com a Wired.

Como se prevenir

Com mais detalhes, dá para tirar mais lições do caso:

Mat diz que o “Find My iPhone tem sido um serviço brilhante da Apple”, só que a implementação do Find My Mac é falha. Se alguém tiver acesso à sua conta do iCloud, você não pode fazer nada para impedir que o computador delete tudo remotamente.

Além disso, ele lembra que se tivesse ativado a autenticação de dois passos no Gmail, ele teria contido a invasão. Se a conta .me não estivesse vinculada ao Gmail, ele também evitaria todo esse problema.

E o prejuízo poderia ser bem maior se o hacker decidisse usar a conta da Amazon. Felizmente, isso não aconteceu. Mas se você quer ficar realmente seguro, é melhor não guardar números de cartão de crédito em sites de compras. É possível contestar compras não feitas por você com a operadora do cartão, mas isso é uma potencial dor de cabeça.

Mat já restaurou sua vida digital – conta do Google, do Twitter, e (parte dos) seus arquivos. Ele vai explicar amanhã, num artigo da Wired, como conseguiu isso. [Wired via Gizmodo US]

Imagem por gualtiero boffi/Shutterstock

Sair da versão mobile