Beheer

Security

Apple en Amazon repareren probleem 'Wired-schandaal'

8 augustus 2012
Apple en Amazon hebben allebei het wijzigen van accountwachtwoorden via de telefoon onmogelijk gemaakt. Het is een reactie op de hack waarbij de Wired-reporter Mat Honan zo'n beetje al zijn e-mail- en Twitter-accounts gekraakt zag worden, de controle verloor over zijn drie Apple-apparaten en waarbij van zijn iCloud-account alle gegevens werden gewist.

De hack werd mogelijk door slimme social engineering. Een hacker had eerst Honans e-mailadres gehaald van zijn website en zijn factuuradres bij de domeinregistratie. Daarna haalde hij de laatste vier cijfers van Honans creditcard vanaf diens account bij Amazon.

Die gegevens blijken eenvoudig te krijgen bij de helpdesk van Amazon, door telefonisch te vragen een extra creditcard toe te voegen aan het account. De hacker had daarvoor alleen een naam, e-mailadres en factuuradres nodig. Hij verbrak de verbinding en belde even later terug dat hij niet bij zijn (Honans) account kon komen, gaf de door hemzelf opgegeven creditcardgegevens ter verificatie en kreeg zo een nieuw wachtwoord dat hem toegang gaf tot Honans Amazon-account. Daar zijn van elke aan het account verbonden creditcard de laatste vier cijfers onversleuteld te zien. Zo zag de hacker dus ook deze cijfers van Honans echte creditcard.

Met deze informatie belde de hacker de Apples klantenservice om het wachtwoord van Honans iCloud-account te wijzigen. De Apple-medewerker vroeg ter verificatie precies die informatie die de hacker van het Amazon-account had kunnen halen.

Het digitale leven van Honan gewist

Na wijziging van het wachtwoord had de hacker toegang tot alle informatie die Honan op zijn iCloud-account had staan. Hij wijzigde daarop de wachtwoorden van onder meer zijn Google-account, zijn Gmail-account, zijn .Me-account en van zijn Twitter-account.

De hacker wiste vervolgens op afstand de geheugens van Honans iPhone en MacBook, verwijderde het complete Google-account en plaatste een bericht op zijn Twitter-account waarin de hack werd opgeëist.

Geen telefonische wijzigingen meer

Amazon heeft in een reactie de mogelijkheid telefonisch creditcard- en e-mailadresgegevens te wijzigen geblokkeerd. Apple heeft aangegeven dat in dit specifieke geval de hacker wel over veel persoonlijke gegevens beschikte, maar dat ook niet alle veiligheidschecks zijn uitgevoerd die Apple in het interne veiligheidsbeleid heeft omschreven. Het bedrijf zegt de procedures opnieuw tegen het licht te houden. Nadat journalisten van Wired er eveneens in slaagden toegang te krijgen tot een ander iCloud-account door precies dezelfde route te volgen als de hackers bij Honan namen, heeft Apple vandaag ook de mogelijkheid telefonisch wachtwoorden te wijzigen geblokkeerd, in ieder geval voor 24 uur.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.