2012/08/07

A Recuperação da Passwords na Apple


Já se conhecem mais alguns pormenores sobre o processo que terá permitido desencadear aquele "pesadelo digital", que fez com que Mat Honan visse toda a sua vida online ser apoderada por hackers em poucos minutos, e os seus dados desaparecerem frente aos seus olhos.

Como seria de esperar, o assunto tem sido abordado repetidamente, e todos querem saber como é que foi possível recuperar uma conta do serviço iCloud telefonando para a Apple e fazendo passar-se pelo legítimo dono dela... mas sem responder às perguntas de segurança.

E agora... ficamos a saber como é que tal é possível:

Actualização: Apple e Amazon já suspenderam os protocolos que tornaram este ataque possível.

Aparentemente, para solicitar o reset da password de uma conta AppleID, basta telefonarem para o suporte técnico da Apple e fornecerem os seguintes dados:
  • o email associado à conta, 
  • a morada da pessoa,
  • os últimos quatro dígitos do cartão de crédito do cliente

Com estes dados, a Apple disponibilizará uma password temporária para que possam recuperar a vossa conta... Mas, são dados que também são relativamente fáceis de encontrar na internet - não só devido aos milhões de dados de utilizadores que circulam por aí, fruto dos frequentes ataques de hackers que conseguem roubar bases de dados de serviços - como também ao caso caricato de, em serviços como a Amazon, os dados dos cartões de crédito serem mantidos escondidos... mas mantendo os últimos 4 dígitos visíveis. Ou seja, os dados visíveis na Amazon, são os dados que na Apple são usados para possibilitar este processo de recuperação de password!

E também a Amazon é vulnerável a este tipo de manipulação, já que esses tais preciosos números do cartão de crédito foram obtidos através deles: com os hackers a ligarem para lá pedindo para adicionarem um novo cartão de crédito à "vossa" conta (bastando para isso validarem a vossa identidade com o email e morada do "alvo"). De seguida ligam novamente para lá, e pedem para fazer reset à password, utilizando o número do cartão de crédito que acabaram de lhes dar!


Ainda assim, a Apple já terá reconhecido que: "...we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected."

Mas, é um reconhecimento estranho, pois a Wired já conseguiu replicar o processo utilizado pelos hackers - e que demonstra que este problema é mais grave, pois não terá dependido de um lapso de um funcionário (errar é humano, certo?)... mas sim da forma como todo este processo está implementado.


E quem fala da Apple, fala igualmente da Amazon, e de todo e qualquer outro serviço que permita efectuar estas recuperações com dados que - como se pode ver - não são assim tão difíceis de descobrir.


Neste incidente, tudo terá sido originado pelo desejo do hacker em se apoderar da conta de Twitter de Mat (@mat) que com apenas 3 caracteres, e não por real interesse em "destruir" a sua vida online (os hackers poderiam facilmente ter acedido aos seus dados bancários, fazer compras, transferir dinheiro, etc.). Mas, o que é certo é que os danos colaterais foram imensos... e potencialmente devastadores: o remote wipe do MacBook de Mat eliminou um ano e meio de fotos da sua filha, que poderão nunca vir a ser recuperadas.


Um episódio que não só servirá para alertar para os riscos, talvez demasiado elevados, deste tipo de procedimentos - como também para incentivar que as empresas repensem seriamente os sistemas que permitam recuperar passwords por via "não-presencial".

Penso que será obrigatório que todo e qualquer serviço que pretenda ser levado a sério deverá implementar  sistemas de validação "2-step", onde para além da password se dá uso a um código extra, enviado via SMS ou existente num cartão que foi enviado para a morada da pessoa. E que no caso de operações realmente destrutivas, como os tais remote-wipes de equipamentos... até deveria existir um "3-step", para garantir que a possibilidade de abuso destas funções fosse mesmo "praticamente impossível" por qualquer outra pessoa.


[via wired]

13 comentários:

  1. Carlos, a informação no post penso que esta parcialmente incorrecta. Para solicitar o reset à password não são necessários aqueles 4 elementos, bastam 3. "Outro cartão de crédito" só é necessário fornecer na Amazon e nem precisa ser um cartão legítimo.

    Retirado do artigo original:

    "It turns out, a billing address and the last four digits of a credit card number are the only two pieces of information anyone needs to get into your iCloud account. Once supplied, Apple will issue a temporary password, and that password grants access to iCloud."

    ResponderEliminar
    Respostas
    1. Actualizado. Na altura em que escrevi o artigo, no post da wired ainda referia o cartão adicional - entretanto clarificaram a questão (também não me parecia fazer grande sentido o cartão extra para a Apple).

      Eliminar
  2. A Apple devia dar uma olhada no sistema de recuperação de passwords do ViaCTT.pt, Eu andei vários MESES para recuperar acesso à minha conta, como me tinha esquecido da resposta da pergunta secreta, nem com códigos de desbloqueio enviados para o telemovel consegui desbloquear a conta. Foi preciso insistir bastante e muitos mails trocados com o ViaCTT. Estive quase a desistir.

    ResponderEliminar
    Respostas
    1. Olha somos 2, fartei-me de ligar para lá e nunca ninguém atendia.

      Depois lá resolvi por e-mail.

      Eliminar
  3. um pormenor: o facto de a Amazon nao ocultar os ultimos 4 digitos do CC nao e caricato nm especifico da Amazon, mas sim pratica correcta para quem tem as suas operacoes de cartao de credito com visa, mastercard e outros proponentes das normas PCI DSS.
    O numero de CC e armazenado por inteiro de forma a ser usado pela loja, mas o servico ao cliente so pode ver os ultimos 4 digitos. Isto pode ser util por exemplo para consultar uma lista das ultimas compras que o cliente fez com os seus cartoes de credito.

    A golpada foi possibilitada pelo facto de a Apple se servir desses 4 digitos - que nao sao tidos como segredo - para verificacao da identidade. Provavelmente terao que mudar esse procedimento.

    ResponderEliminar
  4. "2 steps" ... ou então nenhuma informação dos campos exigidos para a abertura da conta de email é verdadeira - nem nome, nem morada, nem nada - o que impede a "recuperação" da password com dados que estejam de alguma maneira acessíveis.

    Sempre procedi assim, por desconfiança quanto ao "big brother internet". Este caso só demonstra que todo o cuidado é pouco.

    A conta do Gmail não ter o acesso definido em "2 steps" e ter como conta de recuperação a conta iCloud a que o hacker já tinha acedido foi a cereja no topo do bolo.

    A chave de tudo foi a obtenção dos 4 últimos dígitos do cartão de crédito, via Amazon.

    Só uma precisão, sobre a frase: "Aparentemente, para solicitar o reset da password de uma conta AppleID, basta telefonarem para o suporte técnico da Apple e fornecerem os seguintes dados (...)". Creio que o hacker entrou na conta preenchendo esses dados online, sem precisar de telefonar. Se telefonou e as únicas perguntas de identificação/segurança são essas - de que já conhecia a resposta - não houve qualquer engenharia social (tanga por telefone) que tivesse levado alguém dos serviços técnicos da Apple a facilitar o acesso à conta (ou, pior, que os sistemas de segurança permitissem facilitar, desse modo, o acesso à conta). Esta parte é que eu não consegui engolir quando a história foi contada no post anterior, com a informação então disponível.

    ResponderEliminar
  5. Viva

    Portanto, resumindo:

    Modo irónico on

    A Apple deu uma "grande ajuda" no incremento de uma maior segurança na net,com esta embrulhada toda..., já que tudo o que é empresa Major, por essa net fora, irá, agora, rever e remendar/alterar ou reforçar o seu sistema actual [(in)falível]..., ele há coisas... eheheh...

    Modo irónico off

    ResponderEliminar
    Respostas
    1. Nesta história em concreto lê a parte em que se acede a uma conta da Amazon com:

      - Nome da conta
      - e-mail
      - e um número de cartão de crédito falso (ao menos os quatro dígitos pedidos pela Apple eram verdadeiros ... sendo certo que até o "rapaz das pizzas" o pode conhecer)

      e vais ver que há bem pior. Para quem transacciona milhões não está mal.

      Por mim, hei-de ler o artigo do Wired com mais vagar porque há lá muito para aprender.

      Eliminar
    2. ... Aliás, lendo o artigo com mais vagar, começo a duvidar que o hacker (Phobia) tenha tido acesso a alguma conta de email, da Apple ou outra. O que lá está escrito é:

      "And so, with my name, address, and the last four digits of my credit card number in hand, Phobia called AppleCare, and my digital life was laid waste. "

      Ou seja, telefonou ao AppleCare que lhe apagou remotamente os dados do Mac.

      Alguém pode confirmar que com os três dados referidos no post se tem acesso a uma conta de email da Apple ?

      Eliminar
    3. A Wired diz que replicou o processo, e que conseguiu fazer exactamente o que foi descrito.

      E não foi a Apple a apagar remotamente - a Apple simplesmente fez reset à password para que o utilizador "devidamente validado" lhe pudesse voltar a aceder.

      O próprio hacker também diz que não foi ele a fazer wipe, mas sim o seu "colega", e que até se sentiu culpado ao saber que essa acção limpou ano e meio de fotos sem backup.

      Eliminar
    4. Ia eliminar o comentário anterior, porque percebi que as questões de segurança exigidas para apagar remotamente os dados do Mac não podiam ser superiores/inferiores às do acesso à conta.

      Os 4 dígitos que o "pizza boy" (qualquer pessoa a quem entreguemos o cartão de crédito numa compra pode conhecer) deixaram-me de cabelos em pé ;-) Se tivesse um Mac desligava já o serviço. Se tivesse uma conta de email da Apple encerrava-a.

      Eliminar
  6. Não tendo nenhum Apple, também tirei as minhas lições daqui... Como uso cartões MBnet, tratei de apagar todos os históricos de cartões antigos no Paypal, GWallet e... Amazon. E já agora, também mudei o email que tenho na Amazon... Estava com a minha conta GMail.

    Haja algo que se aproveita desta história. Agora faltam as lições por parte das gigantes.

    ResponderEliminar
  7. Anónimo7/8/12 19:50

    Se há algo que é ULTRA perigoso e devia ser mudado, é o modo como funcionam os cartões de crédito. Nenhum cartão deveria funcionar sem introdução manual dum código, mínimo 6 números. Seja como for, arrepia saber isso. Quanto a perder 1.5 anos de fotos: já não é mais do que sabido que um vírus/fogo/relâmpago/curto-circuito podem mandar o disco ao ar e perdemos tudo? Daí que um mínimo de segurança é ter sempre um HDD externo ou um Blu-RAY (daí estar a considerar comprar um gravador BLU-RAY externo USB).

    ResponderEliminar