Apple en Amazon repareren probleem 'Wired-schandaal'
De hack werd mogelijk door slimme social engineering. Een hacker had eerst Honans e-mailadres gehaald van zijn website en zijn factuuradres bij de domeinregistratie. Daarna haalde hij de laatste vier cijfers van Honans creditcard vanaf diens account bij Amazon.
Shutterstock
Shutterstock
Die gegevens blijken eenvoudig te krijgen bij de helpdesk van Amazon, door telefonisch te vragen een extra creditcard toe te voegen aan het account. De hacker had daarvoor alleen een naam, e-mailadres en factuuradres nodig. Hij verbrak de verbinding en belde even later terug dat hij niet bij zijn (Honans) account kon komen, gaf de door hemzelf opgegeven creditcardgegevens ter verificatie en kreeg zo een nieuw wachtwoord dat hem toegang gaf tot Honans Amazon-account. Daar zijn van elke aan het account verbonden creditcard de laatste vier cijfers onversleuteld te zien. Zo zag de hacker dus ook deze cijfers van Honans echte creditcard.
Met deze informatie belde de hacker de Apples klantenservice om het wachtwoord van Honans iCloud-account te wijzigen. De Apple-medewerker vroeg ter verificatie precies die informatie die de hacker van het Amazon-account had kunnen halen.
Het digitale leven van Honan gewist
Na wijziging van het wachtwoord had de hacker toegang tot alle informatie die Honan op zijn iCloud-account had staan. Hij wijzigde daarop de wachtwoorden van onder meer zijn Google-account, zijn Gmail-account, zijn .Me-account en van zijn Twitter-account.
De hacker wiste vervolgens op afstand de geheugens van Honans iPhone en MacBook, verwijderde het complete Google-account en plaatste een bericht op zijn Twitter-account waarin de hack werd opgeëist.
Geen telefonische wijzigingen meer
Amazon heeft in een reactie de mogelijkheid telefonisch creditcard- en e-mailadresgegevens te wijzigen geblokkeerd. Apple heeft aangegeven dat in dit specifieke geval de hacker wel over veel persoonlijke gegevens beschikte, maar dat ook niet alle veiligheidschecks zijn uitgevoerd die Apple in het interne veiligheidsbeleid heeft omschreven. Het bedrijf zegt de procedures opnieuw tegen het licht te houden. Nadat journalisten van Wired er eveneens in slaagden toegang te krijgen tot een ander iCloud-account door precies dezelfde route te volgen als de hackers bij Honan namen, heeft Apple vandaag ook de mogelijkheid telefonisch wachtwoorden te wijzigen geblokkeerd, in ieder geval voor 24 uur.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee