Репортер Wired Мэт Хонон подробно описал процесс, с помощью которого хакеры получили контроль над его аккаунтом в iCloud. Взломанный аккаунт iCloud привел к удаленному стиранию данных с его iPhone, iPad и MacBook Air, а также к дальнейшему взлому его аккаунтов Gmail и Twitter.

Как сообщалось ранее, хакерам удалось убедить службу поддержки Apple предоставить им временный пароль для доступа к аккаунту Хонона. Хонон подробно описывает, как это было сделано.

По-видимому, для выдачи временного пароля служба поддержки Apple требует только платежный адрес пользователя iCloud и последние четыре цифры привязанной кредитной карты. Этот временный пароль предоставляет полный доступ к аккаунту iCloud пользователя. Представитель Apple Натали Керрис выступила с заявлением, в котором утверждала, что в случае с Хононом внутренние политики были соблюдены не в полной мере, но не уточнила, как именно:

«Apple серьезно относится к конфиденциальности клиентов и требует множественных форм верификации перед сбросом пароля Apple ID. В данном конкретном случае данные клиента были скомпрометированы лицом, которое получило персональную информацию о клиенте. Кроме того, мы обнаружили, что наши собственные внутренние политики не были полностью соблюдены. Мы пересматриваем все наши процессы сброса паролей учетных записей, чтобы обеспечить защиту данных наших клиентов».

Wired смог подтвердить заявленную политику, успешно получив доступ к другому аккаунту, используя только эти две части информации: платежный адрес и последние четыре цифры номера кредитной карты.

Как отметил Хонон, платежный адрес цели, как правило, легко определить, посмотрев на регистрацию домена или в общедоступных базах данных телефонных справочников. Что касается выяснения последних четырех цифр кредитной карты Хонона, то хакер использовал лазейку в системах безопасности Amazon, которые не защищают последние четыре цифры информации о кредитной карте своих пользователей. Взлом требует двухэтапного звонка в Amazon. При первом звонке Amazon позволяет добавить вторую кредитную карту к аккаунту, просто указав платежный адрес, имя и адрес электронной почты аккаунта. Затем второй звонок позволяет добавить второй адрес электронной почты, подтвердив ранее добавленную кредитную карту. Этот второй адрес электронной почты затем получает доступ к информации об аккаунте, включая последние четыре цифры оригинальной кредитной карты.

Взлом Хонона, по-видимому, был результатом целенаправленной попытки проникнуть в его аккаунт Twitter, и для получения доступа хакерам пришлось совпасть ряду факторов. Ситуация показывает, что различия в процессах обеспечения безопасности у разных провайдеров могут открыть нежелательные возможности. Также кажется, что в настоящее время доступ к аккаунту iCloud конкретного пользователя может быть получен с использованием этих двух частей лишь полуприватной информации.

Полная история Хонона о последовательности событий является интересным чтением.