Tietoturva

Applen verkkopalveluista paljastui järkyttävä turvallisuusaukko

Applen iCloud-tileihin tunkeutuminen onnistuu naurettavan helposti. Tilien kautta voi muun muassa etätyhjentää kaikki tiliin liitetyt Applen laitteet.

Digitoday

Sähköpostiosoite, laskutusosoite ja luottokortin neljä viimeistä numeroa riittivät teknologiatoimittaja Mat Honanin iPhonen, iPadin ja MacBookin etätyhjentämiseen viime viikon perjantaina.

Tämän lisäksi Honanin Gmail-sähköpostitili poistettiin ja hänen Twitter-tilinsä kaapattiin, Honan kertoo Wired-verkkolehdessä.

Mat Honanin laitteet tyhjentänyt tihulainen oli soittanut Applen asiakastukeen ja pyytänyt heitä uusimaan iCloud-tilinsä salasanan. Tekninen tuki oli suostunut uusintapyyntöön sen jälkeen, kun huijari kertoi Mat Honanin sähköpostiosoitteen, luottokortin numeron ja laskutusosoitteen.

Asiakastuki ei jostain syystä kysynyt Honanin asettamia turvakysymyksiä.

Naurettavan
helppoa

Honan selittää yksityiskohtaisesti, kuinka hakkeri sai käsiinsä kaikki AppleCaren vaatimat tiedot tarvitsemat tiedot.

Laskutusosoite löytyi domainpalvelu Whois-hausta, koska Honan on rekisteröinyt domainin omille verkkosivuilleen. Lisäksi osoitteita voi etsiä myös muista verkon palveluista. Sähköpostiosoite puolestaan löytyi helposti hänen omilta kotisivuiltaan.

Luottokortin neljä viimeistä numeroa huijattiin Amazon-verkkokaupan asiakaspalvelun kautta. Samat numerot tulostuvat muun muassa luottokortilla maksettujen ostosten kuitteihin.

Näillä tiedoilla hakkeri soitti Applen asiakastukeen, hankki pääsyn Honanin iCloud-tililla ja etätyhjensi Applen Find My Mac - ja Find My iPhone -palveluiden avaulla Honanin laitteet.

Apple
pahoittelee

Samat tietoturva-aukot ja kehnot käytännöt olivat yhä voimassa maanantaina, kun Wired testasi Apple ID-tilin hakkerointia.

Applen mukaan yhtiö arvioi millä perusteilla Apple ID –salasanan voi nollata jatkossa. Applen mukaan kaikki ei muutenkaan mennyt yhtiön ohjeistusten mukaan.

 Apple vakuuttaa, että asiakkaiden yksityisyys otetaan vakavissaan.

– Tässä tapauksessa asiakkaasta oli ongittu muitakin henkilökohtaisia tietoja ennen Apple ID –salasanan nollaamista, Applen tiedottaja Natalie Kerris sanoo Wiredille.

Honan kertoo, että hän avasi Apple-tilin alun perin vain ostaakseen 99 sentillä musiikkitiedostoja iTunesista. Vuosien kuluessa sama tili on muuttunut kaukosäätimeksi puhelimille, tablet-tietokoneille ja tietokoneille.

– AppleID:llä joku voi ostaa silmänräpäyksessä tuhansilla dollareilla tavaraa tai tehdä sellaista vahinkoa, jolle ei voi laittaa hintalappua, Honan kirjoittaa.

Honan pitää itseään onnekkaana, sillä kaappaajat olisivat voineet käyttää hänen sähköpostitilejään esimerkiksi hänen ystäviensä huijaamiseen, verkko-ostosten tekoon ja ehkä murtautumiseen pankkitilille.

Ilmeisesti kaappaajien tarkoituksena oli kuitenkin vain päästä käsiksi Honanin Twitter-tilille, ja julkaista hänen nimissään alatyylin viestejä. Honaniin yhteyttä ottanut kaappaaja kertoi haluavansa myös paljastaa verkkopalveluiden huonot tietoturvakäytännöt.

Honan murehtii eniten tietokoneen tyhjennyksessä menettämiään tyttärensä vauvakuvia, joita hän ei varmuuskopioinut. Hän moittii Applen ja Amazonin lisäksi itseään siitä, ettei ottanut tietokoneestaan varmuuskopioita, eikä käyttänyt esimerkiksi Gmailin tarjoamaa kaksinkertaista käyttäjätunnistusta.

Lue kommentit (63)

yksi taas tiedoitettu ja 1001 vielä hyväksikäytettävää
Tuon jäbän salasanat oli vuotanut Amazonista hakkererille ja Apple toimi niin kuin pitikin eli antoi niillä tyhjentää sisällöt.Ne kun oli oikeat ja jäbä itse ne hakkereille tyrkyttänyt.
Tuon jäbän salasanat oli vuotanut Amazonista hakkererille ja Apple toimi niin kuin pitikin eli antoi niillä tyhjentää sisällöt.Ne kun oli oikeat ja jäbä itse ne hakkereille tyrkyttänyt.Luepa se alkupe...
Vieläkö tätä vanhaa uutista pitää kierrättää?
Tuon jäbän salasanat oli vuotanut Amazonista hakkererille ja Apple toimi niin kuin pitikin eli antoi niillä tyhjentää sisällöt.Ne kun oli oikeat ja jäbä itse ne hakkereille tyrkyttänyt.Luepa se alkupe...
iCloud ja tietosi eivät varmasti ole turvassa.
Lue lisää ja osallistu keskusteluun
  1. 1.

    Suomeen uusi puhelinoperaattori – täysin erilainen laskutusmalli

  2. 2.

    Wlan-verkolla pysäyttävä nimi – 40 poistui lentokoneesta

  3. 3.

    Testi: Huawei P9 on hinta-laatusuhteeltaan huippupuhelimista paras

  4. 4.

    Äärikallis superkaara on riippuvainen – 20-vuotiaasta museoläppäristä

  5. 5.

    Kiinalainen nahkafirma vei Applea kuin litran mittaa: Saa myydä "iPhoneja"

  6. 6.

    Applen historiallinen romahdus: Yhtiön arvosta katosi 79 miljardia dollaria

  7. 7.

    Väärä Chrome-päivitys runtelee puhelimen ja jättää uhrille kamalan vaihtoehdon

  8. 8.

    Varo hämärää leffapalvelua: "Parempi kuin Netflix"

  9. 9.

    Jolla sai jatkoajan: Perui velkasaneerauksen, palkkaa uutta väkeä

  10. 10.

    Roskaposti hyppäsi kännykkään: Näin vältät ikävän yllätyksen

Näytä lisää
  1. 1.

    Maailmalla kohistaan 10-vuotiaasta suomalaishakkerista: Nettosi 10 000 dollaria Facebookilta

  2. 2.

    Pettymyksiä ja äkkieroja: Applen Spotifyn-tappaja remonttiin

  3. 3.

    Zuckerberg WhatsApp-pannasta: "Hyvin pelottavaa"

  4. 4.

    Webmailit vaarassa: Salausohjelmassa kuusi aukkoa

  5. 5.

    Kiinalainen nahkafirma vei Applea kuin litran mittaa: Saa myydä "iPhoneja"

  6. 6.

    Valmistaja julki: Google teki tilauksen roboautoista

  7. 7.

    Hyökkäykset alkoivat: Palvelimen voi kaapata kuvatiedostolla

  8. 8.

    Äärikallis superkaara on riippuvainen – 20-vuotiaasta museoläppäristä

  9. 9.

    Väärä Chrome-päivitys runtelee puhelimen ja jättää uhrille kamalan vaihtoehdon

  10. 10.

    "Kävelevät kännykkäzombit" ovat riski: Näin ongelmaa ratkotaan Saksassa

Näytä lisää
Siirry täysversioon