iCloud不是你的也不是乔布斯的，是黑客的

世界进入云计算时代的标志之一就是无所不在的iPhone、iPad和Mac上的iCloud服务。如今，无论你是否情愿，个人隐私数据正在一步步被转移到云端，然后面临被黑客一锅端掉的危险。这不是危言耸听，亚马逊和苹果iCloud等公有云的安全性到底有多差?个人如何在云计算时代保护隐私数据?也许连线杂志资深记者Mat Honan的遭遇可以给你一点启示。

连线杂志的高级记者Mat Honan最近出名了。 他的Twitter账号， 苹果账号， 亚马逊账号在几个月前被“匿名”组织的黑客攻破了。 一个叫Phobia的黑客进入了他的Twitter账号， 发表了一系列种族主义言论。 黑客把他的iPhone， MacBook的数据， 连同在iCloud上的备份统统删掉了。 而Phobia这么做， 只是为了抗议美国拘捕了著名的“匿名”组织黑客Luiz。

无需暴力破解，黑客自揭社交工程手法

Mat Honan又注册了一个Twitter账号， 告诉大家他的账号密码可能被黑客用暴力破解了。 也有人怀疑是他被盗号木马盗号了。 这时， Phobia在Twitter上 @了他。 告诉他根本没有用暴力破解的方式获得密码。 出于记者的好奇， Honan跟Phobia进行了交流， 黑客告诉了他是如何通过社交工程的方式， 通过亚马逊， 苹果的技术支持进入Honan的一系列账号的。

Phobia选择Honan实属偶然。 这个倒霉的家伙有个好的Twitter账号， 只有3位字母的@mat. Phobia说他跟Honan无冤无仇， 就是喜欢这个账号而已。

确定了目标之后， 黑客做了一些背景研究。 Honan的Twitter账号和他的个人网页相关联， 从他的个人网页上， Phobia找了了他的Gmail账号。 然后他去了Google的重置密码页面。 由于Honan没有启用Gmail的双因素身份认证， 黑客可以看到Gmail用来设置密码找回的备用邮箱。 尽管Google把一些字母隐掉了， 但是从m****n@me.com上， 黑客很容易根据Mat Honan的名字， 猜出邮件名。 此外， 根据苹果 的me.com的后缀， 黑客知道这个账号很可能关联了一个Apple ID。

在Phobia给Honan的邮件里， Phobia说道：

“老实说， 你可以进入与任何邮件关联的苹果账号”。

Honan用了Phobia所说的办法， 发现确实不难。

苹果的账号重置只需要知道邮件， 账单地址以及信用卡的后四位。 Phobia已经有了邮件地址， 剩下的就是账单地址和信用卡后四位了。

黑客先从简单的来， 他上网查了Honan个人网站的域名信息， 从那里很容易就查到了Honan的账单地址。

信用卡后四位稍微麻烦一些， 他们首先用了一个打电话给亚马逊的客服， 要求在现在的账号下加一张信用卡。 亚马逊客服需要知道的是姓名， 邮件， 账单地址和需要加的信用卡号当然是假的， 是根据信用卡号生成的算法生成的一个假的信用卡号。 亚马逊的系统可以允许这样的号码，因为它在这个非交易阶段， 不会去跟信用卡公司核对。 紧接着， 他们又打电话给亚马逊的客服说把密码弄丢了。 他们给亚马逊客服提供了用户， 账单地址以及刚才新加的信用卡号， 亚马逊允许关联一个新的邮件地址。 然后黑客去亚马逊的重置密码页面。 把重置密码发到这个新的邮件地址去。 从这封重置密码的邮件里， 亚马逊列出了所有与该账号关联的信用卡的号码(当然只有后4位)。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友