"ثغرات أمنية" لدى Apple وAmazon مكنت مخترقا من تدمير الحياة الرقمية لإحدى ضحاياه بثلاثة اتصالات هاتفية فقط

نُشر يوم 10 أوت 2012 بواسطة Xacker

أدى اختراق الحسابات الشخضية لدى Apple و Amazon لأحد كتّاب Gizmodo، إلى رفع الكثير من المخاوف لدى المستخدمين حول درجة الأمان التي تتمتع بها المنظومات السحابية بشكل عام.

هذا وتدور أحداث قصتنا مع البطل الكاتب Mat Honan الذي تحدث في مقالة تم نشرها في مجلة Wired، عن قيام أحدهم باختراق حساب iCloud الخاص به، وقيامه بمسح جميع البيانات من حاسبه المحمول MacBook وهاتفه الذكي iPhone والـ iPad الخاص به، والتي كانت متصلة بحسابه السحابي لدى Apple. ولم يكتفي المخترق بهذا بل تمكن من اختراق حساباته في Twitter و Gmail.

وفي قصته، يلقي Honan باللوم على نفسه لعدم اتباعه الإجراءات الوقائية الأساسية لحماية بياناته – فجميع حساباته عبر الانترنت كانت مرتبطة بعضها ببعض، بالإضافة إلى عدم قيامه بأخذ نسخ احتياطية محلية عن بياناته على سبيل المثال.

لكن القلق الأعظم ظهر جلياً من تمكن المخترق الذي دعى نفسه “الرهاب” “Phobia” من دخول جميع هذه الحسابات بتلك السرعة والسهولة بعد قيامه بإجراء بضعة اتصالات فقط إلى كل من Amazon و Apple (منفذاً الهجوم الذي يدعى “الهندسة الاجتماعية” أو “Social Engineering”) حيث تمكن من إقناع ممثلي خدمة الزبائن لدى كل من Amazon و Apple بأنه صاحب الحساب Honan.

الهدف من كل هذه العملية كان الاستيلاء على حساب الضحية على تويتر، وبالدخول إلى موقع الضحية على الإنترنت ومعرفة عنوان بريده الإلكتروني على Gmail، قام المخترق بطلب استعادة كلمة المرور هذا الحساب والتي تم إرسالها إلى عنوان البريد الإلكتروني الثانوي والذي كان على خدمة @me.com الخاصة بـ Apple.

وللولوج إلى هذا الحساب، احتاج المخترق لثلاث اتصالات هاتفية فقط: وتمت على النحو التالي:

لاسترجاع بيانات حساب الضحية لدى Apple فإنه يجب امتلاك 4 معلومات مختلفة، ويتعلق الأمر بكل من اسم الحساب، عنوان البريد الالكتروني، العنوان الشخصي، وآخر أربعة أرقام من البطاقة الائتمانية. وبما أن المخترق يملك جميع هذه البيانات باستثناء الأرقام الأخيرة من البطاقة البنكية، استعان بـ Amazon للقيام بذلك.

Amazon تسمح بإضافة بطاقات ائتمانية جديدة عبر الهاتف، وهذا ما قام به المخترق في اتصاله الأول بالشركة، ثم عاد واتصل من جديد ليطلب استرجاع كلمة المرور الخاصة به، وهو ما تمكن من فعله لأنه يملك البيانات التي تطلبها الشركة للقيام بذلك، وهي: الاسم، العنوان البريدي، ورقم البطاقة البنكية (والتي أضافها لتوه).

وبمجرد دخوله إلى حساب الضحية على Amazon، تمكن المخترق من الحصول على الأرقام الأربعة الأخيرة للبطاقة البنكية الأولى، وهو ما مكنه بعد الاتصال بخدمة الدعم الفني الخاصة بـ Apple من استرجاع كلمة سر الحساب البريدي على خدمة @me.com ، وهو ما مكن بدوره من استرجاع كلمة مرور حساب Gmail وحذفه لاحقا، وتغيير كلمة مرور حساب تويتر الخاص بالضحية، إضافة إلى مسح جميع البيانات الرقمية الخاصة بأجهزة الضحية عن بعد.

 يعقّب Honan على ما حدث بقوله:

 “Amazon تعتبر أن الأرقام الـ 4 الأخيرة من البطاقة الائتمانية غير مهمّة، ولكن من الناحية الأخرى فإن Apple تعتبر أن هذه الأرقام مهمّة جداً في عملية التحقق من الهوية! إن عدم الارتباط الواضح في السياسات الأمنية المتبعة بين الشركات يشكل كارثة في ظل دخولنا عصر الحوسبة السحابية”

لقراءة المزيد من المعلومات يمكن الإطلاع على التدوينة التي قام Honan بنشرها.

قامت كل من Apple وAmazon بإيقاف عملية استرجاع كلمة المرور عبر الهاتف بعد عملية الاختراق هذه.

هل تربط حساباتك على الإنترنت بعضها مع بعض؟ وهل تظن بأن عملية الاختراق لم تكن لتحصل لو فعل الصحفي خاصية  two-factor authentication على Gmail؟