Saiba como hackers apagaram a vida digital de um jornalista numa hora
Mat Honan teve sua vida digital apagada dentro de uma hora
(Fonte da imagem: Ariel Zambelich/Ross Patton/Wired)
(Fonte da imagem: Ariel Zambelich/Ross Patton/Wired)
Depois de passar por essa etapa, Honan estava prestes a restaurar suas configurações pela iCloud, quando percebeu que não conseguia se autenticar ao sistema. Já irritado, resolveu conectar o telefone ao seu Macbook e, ao abrir o computador, percebeu uma mensagem do iCal informando que os dados da conta do Gmail dele estavam incorretos. Em seguida, a tela ficou cinza e exigiu uma senha numérica que ele nunca havia configurado.
Foi então que Honan percebeu que algo muito errado estava acontecendo. O jornalista teve seus perfis do Google, Twitter e da AppleID hackeados e, por meio desses, os “piratas” resolveram apagar todos os dados de seu iPhone, iPad e Macbook, usando o serviço Find my Mac.
E sabe o que é mais curioso? Que para fazer tudo isso eles não precisaram escrever uma linha de código sequer. Bastaram algumas estratégias sociais e a exploração de falhas de seguranças das empresas envolvidas. Confira como aconteceu.
O passo a passo da destruição
Amazon forneceu dígitos essenciais do cartão de crédito
da vítima (Fonte da imagem: Luke Dorny/Flickr)
da vítima (Fonte da imagem: Luke Dorny/Flickr)
Para começar, o hacker deixou claro que tudo não passou de um ataque casual, não tendo sido motivado por alguma bronca ou desentendimento com Mat. O agressor simplesmente havia gostado do login da conta de Twitter de Honan e resolveu tomá-la.
Por meio do perfil na rede de microblogs, os piratas descobriram o site pessoal de Honan e, assim, entraram em contato com o endereço do perfil do jornalista no Google. Bastou “somar 2 + 2” para saber que aquele era o email cadastrado no Twitter. Sendo assim, eles precisavam invadir o Gmail de Honan.
Ao tentar descobrir a senha do jornalista, o pirata percebeu que Honan havia cadastrado um email da Apple (.Me) como caixa de entrada alternativa para resgatar passwords esquecidos. E foi isso que mostrou que Mat poderia ser facilmente invadido.
Tabelinha entre Apple e Amazon
Com acesso ao iCloud, hacker apagou arquivos pessoais do
Macbook de Honan (Fonte da imagem: Reprodução/Apple)
Macbook de Honan (Fonte da imagem: Reprodução/Apple)
Com uma simples consulta ao domínio do site pessoal de Mat (whois), o invasor descobriu o endereço de cobrança. A parte do cartão de crédito foi mais complicada, mas o hacker detalhou para Honan como foi feita. O jornalista, que entre outros meios também escreve para a revista Wired, conseguiu repetir o truque duas vezes com sucesso antes de reportá-lo.
Primeiro, o hacker ligou para a Amazon e se identificou como proprietário da conta de Honan, pedindo para que um novo cartão de crédito fosse adicionado ao perfil. Para isso, a empresa exigiu dados muito simples de confirmação: nome completo, email associado ao perfil e o endereço de cobrança das faturas. Adicionado o cartão de crédito novo, o agressor encerra a ligação.
Depois, liga novamente dizendo que não consegue se logar. Informando nome, endereço de cobrança e o novo número do cartão de crédito, a Amazon acredita que o agressor é o verdadeiro proprietário da conta e permite que ele informe um novo endereço de email para configurar uma nova senha. A partir daí, tudo o que o hacker precisa é seguir o procedimento normal de recuperação de password e ganhar acesso completo à conta da vítima.
Autenticando-se no site da Amazon, o agressor não pode ver o número completo do cartão de crédito da vítima, mas tem acesso aos exatos quatro últimos dígitos exigidos pelo suporte técnico da Maçã para a confirmação de dados. Dessa forma, depois de ligar para o suporte técnico da Apple, o hacker também conseguiu entrar na conta do iCloud de Mat e, com isso, recuperar também a senha do Gmail, chegando, finalmente, a obter controle sobre o tão desejado perfil do Twitter.
Dos males, o menor
Felizmente, os invasores estavam preocupados apenas em se divertir um pouco e não tinham nada contra Honan. Caso contrário, eles poderia ter usado o email pessoal do jornalista para ganhar acesso ao web banking e até mesmo exercer um pouco mais de engenharia social.
Honan, que escreve para diversas mídias especializadas em tecnologia, possui muitas pessoas influentes em sua agenda de contato e até mesmo elas estariam expostas às ameaças do hacker. Mesmo assim, Mat perdeu arquivos insubstituíveis, como fotos de família e do primeiro ano de vida de sua filha.
Aprenda com os erros de Mat Honan
De acordo com o relato do jornalista, ele também cometeu diversos erros que facilitaram a ação dos invasores. Para começar, ele não usou o sistema de verificação em duas etapas do Gmail, que comprova a identidade do proprietário do perfil por meio de mensagens enviadas para o celular cadastrado na conta.
Além disso, Mat também se arrepende de ter configurado o serviço Find My Mac. Segundo o jornalista, há algumas falhas que impedem o verdadeiro proprietário do Mac de reverter a remoção de dados pessoais caso uma pessoa mal-intencionada tenha obtido acesso indevido à sua conta do iCloud.
Até segunda passada (06), essas falhas nos processos de autenticação da Apple e da Amazon continuavam funcionando e a Wired foi capaz de reproduzi-las com sucesso. Entretanto, a Apple respondeu ao jornalista alegando que o atendente do suporte técnico não seguiu as normas internas com a rigidez necessária, facilitando assim o ataque. Até o momento, a Amazon não se pronunciou sobre o assunto.
depois dizem que "pena de morte" não é coisa boa. Eu matava um desses
