Το άσχημο πρόσωπο του cloud computing: Η ιστορία του Mat Honan


Ο Mat είναι συντάκτης στην ιστοσελίδα wired.com και μέσα σε μία μέρα είδε την ψηφιακή του ζωή να καταστρέφεται απλά και μόνο γιατί σε κάποιον άρεσε το username του στο twitter και το ήθελε για τον εαυτό του (@mat). Για όλα όπως λέει, φταίει ο ίδιος που δεν πρόσεχε αλλά και η αστεία ασφάλεια του Amazon και της Apple που οδήγησαν επίσης στην διαγραφή του Google account του αλλά και όλων των αρχείων του στα Apple προϊόντα που διαθέτει.

Τι συνέβη;
Ένα απόγευμα ο Mat είδε ξαφνικά το iPhone του να σβήνει. Μην ξέροντας τι πραγματικά συμβαίνει το ενεργοποίησε και πάλι όμως αυτό είχε υποστεί επαναφορά εργοστασιακών ρυθμίσεων. Θέλοντας να πάρει πίσω και πάλι τα δεδομένα του το συνέδεσε με το Macbook του για να συγχρονιστεί με το iCloud όπου εκεί ήταν όλα αποθηκευμένα με ασφάλεια. Η προσπάθεια να κάνει login στο λογαριασμό του δεν είχε επιτυχία καθώς οι κωδικοί είχαν αλλάξει ενώ ένα μήνυμα του έλεγε πως και οι πληροφορίες του Gmail του ήταν λάθος. Ακόμα χειρότερα η οθόνη του Macbook κλείδωσε και του ζήτησε έναν τετραψήφιο κωδικό τον οποίο δεν ήξερε.

Κάλεσε λοιπόν το support της Apple για να δει τι ακριβώς συμβαίνει και εκεί τον ενημέρωσαν οτι μισή ώρα πριν τους κάλεσε κάποιος λέγοντας οτι είναι ο Mat και ζητώντας πληροφορίες καθώς δεν μπορούσε να μπει στο email το οποίο του παρέχει η Apple (me.com). Η Apple λοιπόν έστειλε στο hacker έναν τετραψήφιο κωδικό (αυτόν που είδε και ο Mat στο Macbook του) για να επαναφέρει την πρόσβαση στο λογαριασμό του, ζητώντας του μόνο δύο πληροφορίες για να ταυτοποιήσει οτι είναι ο ίδιος και όπως λέει ο Mat "οποιοσδήποτε με μία σύνδεση στο ίντερνετ μπορεί να μάθει".


Οι κινήσεις του hacker
Αποτέλεσμα ήταν να χαθεί το AppleID του, επειδή όμως χρησιμοποιούσε το email της Apple ως recovery mail για το λογαριασμό του στο Google, ο hacker απλώς πήγε στη σελίδα του Gmail και ζήτησε ένα νέο password  για το λογαριασμό του Mat το οποίο απεστάλη με email στο λογαριασμό της Apple που θα χάκαρε αργότερα! Για να το χακάρει όμως χρειαζόταν τα τέσσερα τελευταία ψηφία της πιστωτικής του κάρτας και έτσι στράφηκε στο Amazon όπου ο Mat είχε λογαριασμό με το ίδιο username. Αφού επικοινώνησε μαζί τους και κατάφερε να τους ξεγελάσει στράφηκε στην Apple για να αποκτήσει τελικά την πρόσβαση και εκεί. Επόμενη κίνηση ήταν να χρησιμοποιήσει το Gmail του για να αποκτήσει πρόσβαση στο twitter και τα κατάφερε. Αμέσως μετά χρησιμοποίησε την υπηρεσία της Apple "Find my device" η οποία χρησιμεύει για να διαγράφουμε τα δεδομένα μας από τη συσκευή που μας έχουν κλέψει και διέγραψε τα πάντα στο iPhone, το iPad και το Macbook του. Τέλος διέγραψαν δια παντός το Google account του και φυσικά την ψηφιακή του ζωή.


Η άποψη του hacker
Ο Mat όλως παραδόξως κατάφερε και μίλησε με τον άνθρωπο που του έκανε όλη αυτή τη ζημιά και αφού συμφώνησαν οτι δε θα τον "κυνηγήσει", δέχτηκε να του πει τον τρόπο που τα κατάφερε. Του εξήγησε λοιπόν οτι δεν είχε τίποτα προσωπικό μαζί του και οτι απλώς ήθελε να του πάρει το username του στο twitter. Του είπε επίσης οτι δε μάντεψε τους κωδικούς του ούτε χρησιμοποίησε keylogger (πρόγραμμα που καταγράφει όλα όσα πληκτρολογούμε) για να τους αποκτήσει.

Όλα έγιναν με μία απλή ταυτοποίηση στοιχείων! Μπαίνοντας στο twitter του Mat είδε πως ήταν συνδεδεμένο με το προσωπικό του website. Εκεί ο Mat έδινε τη διεύθυνση του Gmail του για να επικοινωνούν μαζί του οι αναγνώστες του. Ο hacker λοιπόν πήγε στη διεύθυνση του Gmail και ζήτησε για αυτό το λογαριασμό ένα άλλο password. Το Gmail με τη σειρά του, του απάντησε οτι του έχει στείλει το νέο password στη δεύτερη διεύθυνση email που είχε για αυτό το σκοπό (m****[email protected]). Δεν ήταν δύσκολο να καταλάβει ο hacker οτι κάτω από τους αστερίσκους είναι το username "mhonan".

Ο hacker λοιπόν κατάλαβε οτι ο Mat έχει στην κατοχή του Apple συσκευές και γνώριζε οτι η Apple για να σου μαρτυρήσει τους κωδικούς της χρειάζεται μόνο τη διεύθυνσή σου και τα τέσσερα τελευταία νούμερα της πιστωτικής σου κάρτας. Η διεύθυνση βρέθηκε πανεύκολα από το χρυσό οδηγό και όσο για την πιστωτική, απλώς επισκέφτηκε το Amazon. 

Ανακάλυψε λοιπόν οτι o Mat διέθετε λογαριασμό στο Amazon. Κάλεσε το support και ζήτησε να κάνει προσθήκη ενός νέου λογαριασμού πιστωτικής κάρτας. Για να πιστοποιήσουν οτι είναι ο κάτοχος του λογαριασμού, του ζήτησαν να τους πει το username, το email που χρησιμοποιεί στο Amazon και τη διεύθυνσή του, τα οποία γνώριζε ήδη. Αφού αυτό έγινε, ξανακάλεσε το Amazon λέγοντας οτι έχει χάσει την πρόσβαση στο λογαριασμό του και αυτοί του ζήτησαν πέραν των προηγούμενων στοιχείων και το νούμερο της πιστωτικής του κάρτας. Έτσι ο hacker έδωσε το νούμερο της κάρτας που μόλις πριν από λίγο είχε προσθέσει, απέκτησε πρόσβαση στο λογαριασμό και είδε και το νούμερο της πραγματικής κάρτας του Mat!

Είχε πλέον όλα τα στοιχεία για να μπει στο account της Apple και να τελειώσει το έργο του (διαγράφοντας τα πάντα όπως είπαμε παραπάνω) αλλά και να δει το απαντητικό mail με τους κωδικούς της Google και να έχει πρόσβαση στο Gmail του Mat, άρα και στο πολυπόθητο twitter account του. Όπως λέει ο Mat "ο hacker θα μπορούσε από κει να αποκτήσει πρόσβαση σε τραπεζικούς λογαριασμούς ή ακόμα και να κάνει το ίδιο πράγμα στις επαφές μου". Μάλιστα δοκίμασε και ο ίδιος τη διαδικασία και κατάφερε τα ίδια αποτελέσματα σε έναν ξένο λογαριασμό! Ο Mat μετανιώνει που δεν έκανε όσα όφειλε για να προστατευτεί και μας συμβουλεύει για το τί θα πρέπει να κάνουμε εμείς για να αποφύγουμε την τύχη του.


Πώς θα προστατευτούμε;
Η ιστορία του Mat μας διδάσκει οτι πρέπει να προσέχουμε περισσότερο. Εκτός από την κλοπή μιας πιστωτικής κάρτας είναι και άλλα πράγματα που έχουμε στους λογαριασμούς μας όπως εφαρμογές, παιχνίδια, αρχεία, φωτογραφίες, βίντεο, επαφές τα οποία είτε αγοράστηκαν ακριβά είτε είναι προσωπικά (και πιθανότατα ανεκτίμητης αξίας) και βρίσκονται στο cloud για να προφυλαχθούν από ενδεχόμενη καταστροφή του σκληρού μας δίσκου.

Μπορούμε λοιπόν να κάνουμε τα εξής:
  • Δυνατοί Κωδικοί: Να ορίσουμε όσο το δυνατόν πιο δύσκολους κωδικούς με γράμματα, αριθμούς και σύμβολα που να μη σημαίνουν κάτι για την καθημερινή μας ζωή.
  • Κρυφό recovery email: Να δημιουργήσουμε ένα email το οποίο και δε θα χρησιμοποιούμε για κανένα άλλο λόγο παρά μόνο για recovery email για τα ήδη υπάρχοντα που έχουμε.
  • Όλα στο Google: Να επιλέγουμε όσο το δυνατόν λιγότερες υπηρεσίες για τα ψηφιακά δεδομένα μας. Η Google είναι ένα καλό παράδειγμα και διαθέτει όλες τις online υπηρεσίες που θα χρειαστούμε ποτέ, για τις οποίες χρειαζόμαστε μόνο ένα κωδικό αυτόν του Google account μας.

Σχετικά με το τελευταίο και επειδή είμαστε χρήστες Android συσκευών, η Google μας παρέχει μία έξτρα δικλείδα ασφαλείας η οποία είναι πιθανότατα απροσπέλαστη! Ονομάζεται Google 2-step authenticator και είναι ένας έξτρα κωδικός για το Google account μας.


Google Authenticator
Είναι μία υπηρεσία η οποία μας παρέχει έναν έξτρα κωδικό που ανανεώνεται αυτόματα κάθε 30 δευτερόλεπτα. Μας δίνει επίσης τη δυνατότητα να ορίσουμε τις συσκευές που χρησιμοποιούμε ως "αξιόπιστες" για να μη μας το ζητάει κάθε φορά που θέλουμε να κάνουμε login. Το φοβερό με την εν λόγω υπηρεσία είναι οτι αυτός ο κωδικός δημιουργείται από την εφαρμογή "Επαληθευτής" η οποία βρίσκεται στο Android κινητό μας, άρα μόνο αν χάσουμε τη συσκευή μας μπορεί κάποιος να μπει στο λογαριασμό μας (εκτός και αν έχει πρόσβαση σε μία από τις αξιόπιστες συσκευές μας)!

Τι γίνεται αν ξεχάσουμε το κινητό στο σπίτι; Η Google μας παρέχει μία λίστα 10 κωδικών οι οποίοι είναι εφεδρικοί και μπορούν να χρησιμοποιηθούν μόνο μια φορά ο καθένας. Είναι εκτυπώσιμοι και μπορούμε να τους έχουμε σε ένα χαρτάκι μέσα στο πορτοφόλι μας για ώρα ανάγκης.

Για να το ενεργοποιήσετε θα πρέπει να κατεβάσετε τον Επαληθευτή (Authnticator) από το Google Play Store αφού πρώτα ακολουθήσετε τις οδηγίες ενεργοποίησης για το λογαριασμό σας εδώ: Setup Google 2-step Authentication.

Εν κατακλείδι
Αυτό που συνέβη στο Mat προσωπικά με ταρακούνησε και άλλαξα όλους τους κωδικούς μου τουλάχιστον στις σελίδες που έχουν σημασία για εμένα. Χρησιμοποιώ όσο το δυνατόν περισσότερες υπηρεσίες της Google για να νιώθω όσο το δυνατόν ασφαλέστερος (γιατί να έχω τα αρχεία μου π.χ. στο Dropbox όταν υπάρχει το Google Drive;). Μετά από δύο εβδομάδες χρήσης του Google Authentiocator, μπορώ να πω οτι δε δυσκόλεψε σε καμία περίπτωση την καθημερινή χρήση των Android συσκευών μου και των υπολογιστών μου. Δοκιμάστε το άφοβα.

Μακρυά από μας που λέει και ο σοφός ελληνικό λαός! Διαβάστε την ιστορία έτσι όπως τη διηγείται ο ίδιος ο Mat Honan στο Wired.

Σχόλια

  1. Και μενα με ταρακουνησε αυτη η ιστορια. Ειναι απιστευτο το ποσο ευκολα καποιος αγνωστος εμαθε τους κωδικους και τον αριθμο της πιστωτικης καρτας καποιου αλλου. Μαλλον θα πρεπει να προσεχουμε περισσοτερο απο οτι φαινεται.

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Το αστείο της όλης υπόθεσης είναι οτι ο λεγόμενος χάκερ δεν έκανε τίποτα το ιδιαίτερο. Απλώς εκμεταλλεύτηκε έναν απρόσεκτο χρήστη και ακολούθησε μία λογική διαδικασία που μπορεί ο καθένας μας να κάνει.

      Κυρίως απέδειξε οτι το τηλεφωνικό support του Amazon και της Apple είναι τρύπιο.

      Διαγραφή
  2. Μια χαρα.Σχετικα απλη η διαδικασια.Επειδη εχει αλλαξει το UI του gmail κατα πολυ,οι οδηγοι δεν εχουν 100% ακριβεια.
    Οι κωδικοι που κραταμε backup χρειαζονται και σε περιπτωση που κανουμε φλασαρισμα μιας νεας rom(με full wipe).Επομενως,αυτο το κομματι δεν λεει να το παραληψουμε.

    ΑπάντησηΔιαγραφή

Δημοσίευση σχολίου

Πες την άποψή σου ή κάνε την ερώτησή σου ελεύθερα, ακολουθώντας όμως τους στοιχειώδεις κανόνες ευγένειας.

Δείτε επίσης...

Φεύγω από την Google (μέρος 15) | ''Ξηλώνουμε'' τα Google apps από το Android

Android | Γιατί δε θα αγόραζα ποτέ smartphone της OnePlus

Ιδιωτικό απόρρητο | Το αφελές επιχείρημα του ''Δεν έχω τίποτα να κρύψω''

Docker (μέρος 7) | Στήνουμε έναν reverse proxy για τα container μας με το Traefik

Μάθε παιδί μου Linux (μέρος 11) | Δίσκοι, κατατμήσεις και σύστημα αρχείων (filesystem)

Ubuntu Touch 2020 review | Μια πραγματική mobile GNU/Linux διανομή έτοιμη για καθημερινή χρήση

Android | Περιόρισε την παρακολούθηση των εφαρμογών και κόψε τις διαφημίσεις με το TrackerControl

Docker (μέρος 1) | Τι είναι και πώς το εγκαθιστούμε στον υπολογιστή μας;

Απόρρητο | ''Μπερδεύουμε'' τον αλγόριθμο Google και Facebook με ψεύτικες πληροφορίες

Android | Βάλε στην ''απομόνωση'' τις εφαρμογές που δεν εμπιστεύεσαι με το Shelter