Как, зная только имя и email человека, злоумышленники получили доступ ко всем его аккаунтам и удаленно уничтожили информацию на всех его устройствах

    Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

    Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
    Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
    Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
    Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

    Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
    Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 328
    • +102
      Красиво.
      • +7
        С жутким русским акцентом не прокатило :(
        • +51
          Лет ми спик фром май харт… И вонт ту гет бэк акцесс ту май аккаунт Джон Смит… То есть как фак ю?
          • +17
            Ол йор бэйз ар белонг ту аз!
            • +1
              Ю кэн траст ми. Ай хэв э пэн.
            • +4
              Вы только представьте, сколько за последнее время саппорты упомянутых в статье организаций получили звонков с просьбой восстановить аккаунт почему-то одного конкретного экстремально забывчивого Мэта Хонана :)
            • +8
              похоже на анекдот про Челночную дипломатию
              • +1
                напомните?
                • +93
                  Однажды у Генри Киссинджера спросили:
                  — Что такое «челночная дипломатия»?
                  Киссинджер ответил:
                  — О! Это универсальный метод! Поясню на примере: вы хотите методом челночной дипломатии выдать дочь Рокфеллера замуж за простого парня из русской деревни.
                  — Каким образом?
                  — Очень просто. Я еду в русскую деревню, нахожу там простого парня и спрашиваю:
                  — Хочешь жениться на американской еврейке?
                  Он мне:
                  — На*рена?! У нас и своих девчонок полно.
                  Я ему:
                  — Да. Но она — дочка миллиардера!
                  Он:
                  — О! Это меняет дело…
                  Тогда я еду в Швейцарию, на заседание правления банка и спрашиваю:
                  — Вы хотите иметь президентом сибирского мужика?
                  — Фу, — говорят мне в банке.
                  — А если он, при этом, будет зятем Рокфеллера?
                  — О! Это конечно меняет дело!
                  И такида, я еду домой к Рокфеллеру и спрашиваю:
                  — Хотите иметь зятем русского мужика?
                  Он мне:
                  — Что вы такое говорите, у нас в семье все — финансисты!
                  Я ему:
                  — А он, как раз, — президент правления Швейцарского банка!
                  Он:
                  — О! Это меняет дело! Сюзи! Пойди сюда. Мистер Киссинджер нашел тебе
                  жениха. Это президент Швейцарского банка!
                  Сюзи:
                  — Фи… Все эти финансисты — дохляки или педики!
                  А я ей:
                  — Да! Но этот — здоровенный сибирский мужик!
                  Она:
                  — Ооо! Это меняет дело!
            • 0
              Да еще и технично так, без лишних движений.
            • +38
              Мораль сей басни? Используйте двухступенчатую авторизацию на gmail и храните PIN коды для аварийного доступа в случае утери телефона в надёжном месте :)
              • +4
                Мораль басни — не используйте трехзначные адреса в твиттере, трехзначные номера в ICQ и прочие «красивые» штуки, которые могут привлечь внимание злоумышленников :)
                • +18
                  back up'ы товарищи back up'ы…
                  • +25
                    Бэкапы гуглового контента на амазоне, бэкапы амазоновского на эппле, бэкапы эпплового у гугла… Блин, не помогает! :(
                    • +3
                      Согласен
                      а теперь о морали (больше всего чувак жалеет о потери фото своей дочки)

                      Mat Honan «I should have been regularly backing up my MacBook. Because I wasn’t doing that, if all the photos from the first year and a half of my daughter’s life are ultimately lost, I will have only myself to blame.»
                      • +3
                        А он прям стирает с каким-нибудь перезаписыванием? Иначе же восстановить можно без особых проблем. Хотя если он стирает по-обычному, толку от этих функций маловато.
                        • 0
                          Возможно пока не стыкался не  знаю (
                          • +1
                            он стирает по обычному, иначе процесс бы занял больше 2-3х часов (250гб) с 2-3 циклами забивания нулями
                            • +1
                              Если это SSD, то одна «правильная» команда очистки раздела позволяет контроллеру пометить весь раздел как пустой без возможности восстановления данных (которое заключается в чтении данных раздела, игнорируя очищенную файловую таблицу). Аналогично и включённый TRIM делает обычное удаление файлов безопасным по умолчанию. ИМХО, и возможно, я не прав.
                          • +3
                            Выходит, что электронные носители подвержены угрозам целостности не менее, а еще более чем материальные. У многих в семейных архивах есть фото начала XX века. А представьте себе путь, который должны пройти цифровые фотографии, чтоб дожить до 2112 года?
                            • 0
                              И сейчас (когда даже мама предпочла цифровую фото рамку), привычка супруги заказывать неимоверное количество отпечатков цифровых фотографий мне вдруг показалась не такой уж глупой.
                          • +3
                            Бэкапы гуглового, амазоновского и эпплового контента на простом дедовском DVD, а особо важные — на бумаге:)
                            • +2
                              Простой дедовский ДВД стал слишком мал для современных объёмов при сохранении удобства. На двд-шках можно устроить полноценую систему бэкапов, но довольно геморройно.

                              В общем, это всё понятно. Тут с другой стороны проблема получается. И бэкапы, вроде есть и удобно в облаке лежат, но не помогает. С дивидишками и винчестерами проблема, на самом деле, похожая — пожар или воры легко избавят вас от бэкапов. А хранение в несгораемом ящике, территориально отдалённо — жутко неудобно. И как раз это, вроде бы, решалось облаком, но оно вона как получается.

                              То есть сам по себе бэкап не спасает, надо тщательно разрабатывать и поддерживать систему хранения и управления копиями. Для домашнего пользователя задача крайне сложная.
                              • +2
                                С ДВД, кстати, как минимум, можно удобно хранить фото. Беглый опрос друзей показал, что абсолютному большинству нефотографов (эти ребята хранят у себя тысячи всяческих равов огромного разрешения, с ними разговор особый) этого хватает, хранить несколько десятков ДВД и перриодически их перезаписывать — можно.
                                Вот даже с личными видео такое уже не работает.
                                С рабочей информацией — зачастую совсем неудобно, там многим нужно бэкапиться часто, а ДВД замедляет процесс как бэкапа, так и восстановления.
                                • 0
                                  С рабочей проще — меньше объём. Весь вопрос в организации — я сейчас стараюсь всё хранить компактно.

                                  А фотки да… ими забито всё что только можно. Хотя д800 дисциплинирует рав 45м, джпг 13м)
                                  • 0
                                    DVD отвратительно мало хранятся. При чём время хранения мало зависит от брэнда. Скажем, у меня сейчас не читаются уже многие диски всего лишь 2007-го года записи. А постоянную регулярную перезапись очень мало кто осиливает. Особенно если данных под 250Гб — это придётся всё свободное время на перезапись тратить…

                                    Я пока делаю просто версионный бэкап своего фотоархива на HDD другой машины, но метод тоже далёк от идеала. Хотя бы потому, что обе машины в одном помещении. Случись пожар какой… Всё, 10 лет семейного архива — как ни бывало…
                                • +3
                                  жаль, что у моего деда не было DVD…
                                  • 0
                                    Ну, у вас хотя бы его фотографии сохранились, я надеюсь. А был бы DVD — едва ли. Китайские (правда, CD) болванки десятилетней давности, лежавшие в темном шкафчике (комнатная температура и влажность), потихоньку начали обсыпаться.
                                    • 0
                                      CD ещё намного надёжнее, чем DVD. Всё же, золото CD-R намного лучше хранится, чем органический краситель DVD-R.
                            • +2
                              Работает ровно до тех пор, пока вы не привлечете внимание злоумышленников другим способом.
                            • 0
                              Верно. Но вместо «храните PIN коды», можно еще использовать альтернативный (дополнительный) номер телефона. Хотя одно другому не мешает, но снижает стойкость.
                              • 0
                                Если вы распечатали эти самые коды и положили к остальным документам дома, то я думаю это можно считать достаточно надёжным способом хранения — из интернета точно не украдут :D
                              • +2
                                Это не мораль сей басни, так как доступа к gmail взломщик не получил.
                                Тут жесткий провал в проверке безопасности Amazon, как написал ecl http://habrahabr.ru/post/149179/#comment_5040813
                                • 0
                                  Извиняюсь, всё же получил. Странно только, что с помощью me email'a
                                • +2
                                  Я был очень рад когда гмаил добавил телефоны для восстановления пароля. Пароль от мыла должен выдержать несколько тысяч лет брутфорса и нигде больше не используется. Если пропадет мыло — пропадет все остальное. С мылом все можно восстановить. Остаются только вирусы, но я как то ими обычно не балуюсь и с чужих компьютеров в гмыл не хожу. Предосторожности надо соблюдать, не использовать двухфакторную аутентификацию на мастер аккаунте если она есть просто верх небрежности.
                                  • +4
                                    Это все конечно да. Но существует куча кейсов, когда у вас могут угнать аккаунт.

                                    Вот, например, привязан у вас гмэил акк к андроидовскому телефону. Злоумышленнику достаточно отжать этот телефон у вас (например, просто выхватив из рук). При наличии сообщника можно украсть пару акков за 5 минут. И пароль от самого гуглааккаунта не больно-то нужен.
                                    Причем вы на это время будете лишены связи и не сможете вовремя все заблокировать.

                                    Причем в условиях московского метро ситуация не выглядит фантастической.
                                    • +2
                                      Думаю, за то время, пока вор подберет всего-то 6-символьный пин я успею заблокировать аккаунт)
                                      • 0
                                        Точнее, не заблокировать, а сменить пароль.
                                        • 0
                                          да вы параноик)
                                          • 0
                                            Стоп стоп стоп. Понятно, что если вы никогда при людях не вводите пин к телефону. Не читаете твиттер в метро и т.д., то таким способом вас не раскусить.

                                            Но если вы ввели пин и спокойно читаете почту/джаббер или еще что-то, то вы потенциально уязвимы и последствия могут быть весьма плачевными.

                                            Вот я именно об этом.

                                            Для вас возможно найдется и другой способ, посложнее. Нельзя ведь все рассчитать.
                                            • 0
                                              Нужно что-то типо Android'ного Face Unlocker'а, только, чтобы он следил, кто смотрит в комп. Тогда, как только у вас выхватят телефон, он заблочится и потребует пин. Хотя, конечно, тогда возникает проблема с освещением…
                                        • 0
                                          Кстати, года два назад был случай, когда у клиента Альфабанка угнали много денег со счета.
                                          Как? Просто «восстановив» его симку по поподдельному документу.
                                          • 0
                                            Кстати, у одного из Опсосов есть услуга — отказ от действий по доверенности. Если подключишь, то, типа, все действия только лично можешь совершать)
                                        • +1
                                          Мораль сей басни — используйте свои собственные почтовые серверы.
                                          • +1
                                            Ко-локейшн недоступен большинству пользователей и при выходе из строя надолго останешься без почты. Выделенный сервер — собственность хостера, тоже вопрос, кто может к нему доступ получить…
                                        • +3
                                          Красиво все провернул, что тут скажешь :)
                                          • +80
                                            Ну явный же косяк у Амазаона, дать привязать карту зная только email без подтверждения привязки письмом, и тут же дать возможность восстановления аккаунта на основе данных свежей карты.
                                            • +5
                                              меня больше удивило, что ВОТ ЭТО не вызывало у Amazon'а никакого абсолютно подозрения, причём если привязка и восстановление аккаунта были сделаны в один день — очень странно.
                                              • +15
                                                просто суппортяне наверняка разные и история обращений у них перед глазами не светится.
                                                а вообще странно, тот же пейпал для подтверждения карты хотя бы бакс захолдит, а тут по левому номеру вообще восстановили.
                                                • +3
                                                  Они непуганные. Моего знакомого в пиндостане для проверки личности при крупной покупке по кредитке попросили предъявить… страничку в фейсбук.

                                                  А другой знакомый успешно ломал ящики крупных российских мейл хостеров простым и незатейливым способом: отправлял себе на несколько адресов 100-500 писем со спамом с подделанными заголовками, а потом жаловался в саппорт, который просто выпиливал ящик под ноль. Всё что оставалось — зарегать адрес заново.
                                                  • +1
                                                    Все непуганные. У нас при получении X.509-сертификата в Comodo неком импортном CA сначала требовали добавления компании в yellow pages на каком-то спец.сайте, а когда мы ответили «мы давно отправили заявку, но всё никак не публикуют» (так и есть), то приняли в качестве доказательства существования компании сканы рег.документов и лицензий, т.е. просто картинки, которые мы могли бы и нарисовать… Причем английское название компании, которое мы заявили в сетификате, не совпадает с указанным в русских рег.документах.
                                                    • 0
                                                      Так не только Comodo себя ведет. У Thawte такие же косяки. Нас для получения сертификата тоже просили куда-то добавиться, так там вообще вики-принцип, сами себя добавили без единой проверки. После этого я полностью перестал верить в Extended Validation сертификаты…
                                                  • +3
                                                    Кстати, наверняка светится. Из чего суппортянин делает вполне логичный вывод: чувак зарегал карту, попытался что-то купить и вспомнил, что забыл пароль. Вполне распространенный сценарий.
                                                • +2
                                                  Думаю амазон не считал операцию по привязке карты такой уж опасной, ну кому хуже если к его аккаунту привязали чужую карту? А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
                                                  • 0
                                                    А бакс захолдить для проверки карты слабо? Хотя это тоже проблемы не решит, можно ведь и виртуалку на бакс сгенерить.
                                                    • –1
                                                      Где-то можно сгенерить виртуалку без привязки к своей личности?
                                                      • +3
                                                        Qiwi с симкой на бомжа или с Украины. Достаточно?
                                                        • 0
                                                          mastercard prepaid
                                                          • +3
                                                            В США — на каждом углу можно купить анонимные Visa и Mastercard
                                                            • 0
                                                              Угу, только активировать их нужно на мобильный номер. То есть начинать нужно таки с анонимной симки.
                                                              • +3
                                                                Нет, на сумму до 500 долларов никакого мобильника не надо. Я пользуюсь этими картами, когда не хочу светить по той или иной причине свой настоящий адрес или имя(можно указать любой адрес и любое имя). Это называется Visa Gift Card (что-то похожее есть и у Мastercard и American Express).
                                                                • 0
                                                                  Любопытно, спасибо. Надо будет посмотреть, есть ли такое в Германии. Потому что до сих пор видел только myWirecard и Yuna, которые привязаны к мобильному номеру с любой суммой.
                                                                  • 0
                                                                    И у Вас gift card работала с AWS? Я как-то пробовал gift карту, aws ее отклонил, поддержка aws сказала что надо карту привязать к реальному адресу. Если у Вас прошел такой номер, поделитесь плиз конкретным типом gift карты.
                                                                    • 0
                                                                      Конкретно с AWS не проверял, но поддержка права: карта должна быть привязана к какому-то адресу. Именно поэтому на большинстве gift cards (во всяком случае, со всеми gift cards с которыми я имел дело) есть функция привязки карты к реальному американскому адресу. ЗахОдите на соответствующий URL, вписываете там имя-фамилию, почтовый адрес, email. После этого карта по-идее должна работать в ин-те везде, где принимается карта Виза, Ну, почти везде — в крайне редких случаях карта, определяющаяся как gift card (по первым 6 цифрам) может быть отклонена. У меня это произошло только один раз — когда я дал такую карту на intellius.com — они собирают всю информацию (ФИО, адрес, телефон) о тех, кто им платит по реквизитам платежа и пополняют свою базу данных таким образом. Соответственно, оплату gift card-ами не принимают. Но это был единственный случай на моей памяти.

                                                                      Я пользовался картами TDBank-a ( www.tdbank.com/giftcards/index.html, правда, вроде купить можно только в отделениях банка, но у меня всё равно там есть счет и отделение рядом с домом). Регистрация карты и привязка к почтовому адресу здесь: esecure.tdbank.com/giftcardinfo/index.html

                                                                      Можете попробовать Vanilla Visa: www.vanillavisa.com/product.html
                                                                      Эти карты продаются в любой аптеке.
                                                                      • 0
                                                                        В.ру все просто — живой пример — на улицах подключают к теле2, паспорт нужен, но вознаграждение за подключение еще нужнее, дальше qiwi QVC, адрес от балды и AWS все это кушает
                                                          • +3
                                                            Не панацея. Если злоумышленник создал карту, то скорей всего там была какая-то сумма. Такие карты продаются в сети с различным балансом. Там предоставляется card holder, cvv и дата истечения. Так что проблем зарегистрировать карту с нужным балансом нет никаких.
                                                            Разве что, опять же по схеме paypal, при снятии $1 сообщать pin, который потом должен ввести владелец (можно посмотреть в истории операций), но опять же, нет уверенности, что эти данные не смог бы получить злоумышленник. Но во всяком случае — это бы усложнило.
                                                            • +1
                                                              Создать/купить Visa Virtual с 5$ не проблема.
                                                              • +1
                                                                > Думаю амазон не считал операцию по привязке карты такой уж опасной
                                                                Наверно, но всё равно это не повод разрешать добавлять карты кому угодно. А ведь email, имя и адрес — публичная же фактически информация. По сути так кто угодно может добавить пользователю Амазона свою карту — это очень и очень неправильно. Особенно учитывая, что потом через этот ход можно увести аккаунт.

                                                                > А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
                                                                Тем хуже, ибо кому как не им?

                                                                Амазон промудачили ужасно. Удивительно как для такого немолодого и немаленького сервиса.
                                                                • 0
                                                                  Меня больше беспокоит то, с какой легкостью эпловская тех поддержка восстановила пароль.
                                                                  Имхо, если вы забыли свой пароль, то только личный визит должен разрешать ситуацию. Заодно в следующий раз будет не повадно.
                                                                  • 0
                                                                    Тоесть то, что Амазон позволяет увести ваш аккаунт любому, кто знает email, имя и адрес — это вас не беспокоит? Ок…
                                                                    • 0
                                                                      Я не это имел в виду. Просто я амазоном не пользуюсь, а вот такие возможности взлома на me.com мне совсем не нужны.

                                                                      То что амазон накосячил лично у меня сомнений не вызывает.
                                                                    • +2
                                                                      Например, личный визит из Москвы в Купертино? О_о
                                                                      • 0
                                                                        В любой сервис центр эпла.
                                                                        Это конечно не панацея, но я думаю сильно понизит вероятность мошенничества.
                                                                • +2
                                                                  Ну тут немного несправедливо пенять на Амазон! Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне. Так как в случае взлома — поиметь там особенно нечего. А тот факт что их использовали как промежуточное звено — ну так ни один бизнесмен не будет у себя в бизнесе строить защиту уровня гостайны для сохранения мира во всем мире…
                                                                  • +6
                                                                    >Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне.

                                                                    Если система защиты позволяет, пользуясь лишь публично доступными данными, войти в аккаунт, то она никак не может быть достаточной, неважно даже что хранится в сервисе. Вообще с безопасностью на Амазоне никогда не было слишком хорошо, чего стоят транзакции без CVV2 или чего-нибудь вроде Visa Verified.
                                                                    • +4
                                                                      От удобства — выгоды больше. Давайте не будем забывать, амазон — одна из самых успешных компаний в мире. Они там максимализмом не болеют. Про него я ниже ответил.
                                                                      • +1
                                                                        Давайте не будем оправдывать чужое раздолбайство успешностью. Айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.
                                                                        В аккаунте Амазона есть адреса доставки, части номеров карт (они кстати могут пригодиться для звонков не только в Apple) и вся история заказов. Хоть вам вся эта информация и не кажется ценной, я сильно сомневаюсь, что клиенты Амазон с радостью готовы делиться ей направо и налево. Могу представить себе шум, который бы поднялся, окажись такая база публично доступной.
                                                                        «Не волнуйтесь, ничего ценного не пропало, там лишь ваши адреса, карточки и списки заказов».
                                                                        • 0
                                                                          > айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.

                                                                          Ну для платных приложений это 100% нужно чтобы в случае кражи у вас айфона вы не лишились всех денег на своей карте.

                                                                          • 0
                                                                            Ну не с радостью и не база… А если поменьше белочек-истеричек и побольше здравого смысла, вон там комментарием ниже я предложил поиграть с более конкретными условиями. Попробуйте. ;)

                                                                            P.S. А вообще мое отношение к ПД хорошо описано в этом посте.
                                                                            • –1
                                                                              Вы серьезно полагаете, что кто-то пойдет ковыряться в вашем аккаунте для того, чтобы поддержать разговор? С такими предложениями, пожалуйста, куда-нибудь в журнал Хакер.
                                                                              • 0
                                                                                Правильный ответ! Никто не будет. Хотя я предлагал только придумать идею. ;) Но так даже понятнее получилось. И никто не будет тратить 3 часа ($50) на его взлом, чтобы так же безрезультатно там побродить… Исходя из этого и строилась защита амазона.
                                                                                • 0
                                                                                  Какая занимательная логика :) С вашим подходом Амазону стоило бы оставить одно поле для емейла, ведь добрые люди никогда не полезут в чужой аккаунт.
                                                                                  Простая аналогия. Я даже фанерную дверь на шпингалете не собираюсь без особой на то необходимости вскрывать, но разве это значит, что такая дверь будет достаточной для защиты квартиры?
                                                                                  • 0
                                                                                    Нет, не будет, ибо как монетизировать «работу» по проникновению в чужую квартиру — весьма понятно, а вопрос как монетизировать «работу» по проникновению в аккаунт амазона — остался без ответа, поэтому я и настаиваю на том что «фанерная дверь» в амазон — вполне себе защита.
                                                                                    • 0
                                                                                      Есть железная дверь в квартиру против воров. А есть кодовый замок на подъезде против хулиганов. Одно другое не заменяет, а дополняет.
                                                                                      Если в квартире нет ничего ценного, то без железной двери в нее можно обойтись. Но тогда нужен домофон, потому что иначе кто-то придет в квартиру и нагадит.
                                                                                      • –1
                                                                                        Тебя все время несет вокруг да около! где мои 50 долларов??? :) Я хочу деньги за потраченное время. И я не буду гадить у тебя в квартире, даже за фанерной дверью! Прости если это звучит для тебя обидно и тебе приятно думать что каждый в мире мечтает нагадить в твоей квартире и за ценой не постоит! :) Это слишком далекая и неудачная аналогия к этой статье. Все сводится к вопросу — зачем тратить $51 на защиту $50? Ты будешь тратить? Я — нет!
                                                                                        • +2
                                                                                          Я не готов тратить время просто для того, чтобы сделать гадость. Но есть довольно много «людей», которые готовы. Посмотрите, сколько заборов исписаны словами из 3х букв, сколько сломанных скамеек и качелей на детских площадках и т.д.
                                                                                          • 0
                                                                                            Ты знаешь, в этом отличие России от западного мира, я участвовал в стартапах и там и там. Принципиально разное отличие именно в защите и подходу к социальной инженерии и как следствие часто даже к самой идее.
                                                                                            Вот и здесь и сейчас. Оказывается за сегодня мне конкретно в карму нагадили. И за что? Можно подумать кого-то обидел? Или кто-то вообще в полемику вступил кроме вас двоих? Аргументов-то нет, сказать нечего, а «на те в карму сука, морда мне твоя не нравится». :)
                                                                                            • 0
                                                                                              Ну да, в Европе я следы вандализма ради вандализма видел куда реже, чем в России. Но всё же видел. Люди везде более-менее одинаковые.
                                                                                              А уж в буржнете хулиганов точно хватает.

                                                                                              PS. Лично я поставил Вам в карму минус не за Вашу точку зрения (я ее не разделяю, но вполне признаю Ваше право так считать), а за манеру выражаться.
                                                                                              • +1
                                                                                                Опс, а я и не заметил как ice9 пропал, а ты подхватил эту ветку. :)
                                                                                                Совсем уж офтоп, вандализм в чужом городе всегда бросается в глаза. А вот лучше взять подъезды, за 5 лет в Праге не видел ни одного(!) изуродованного, хотя бывают такие конечно, в России, я не могу вспомнить ни одного чистого, хотя наверно есть…
                                                                                      • 0
                                                                                        Простейший способ монетизации — назаказывать на Амазоне товаров со срочной доставкой. Более изощренный(доступ к емейлам, а затем и к другим сервисам) мог бы быть описан в тексте этого поста.
                                                                                        Пример из жизни. Базы жителей города с ФИО, телефонами и датами рождения достаточно для того, чтобы какие-то неприятные люди начали обзванивать родственников человека, рассказывая, что человек в беде и за него надо заплатить какие-то деньги.
                                                                                        К чему я веду? Плохие люди встречаются, они довольно изобретательны и постоянно работают на тем, как испортить окружающим жизнь тем или иным способом, поэтому я считаю, что лучше сделать одно-два лишних телодвижения, чем читать про себя в новостях.
                                                                                        • 0
                                                                                          Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.
                                                                                          Базы данных — это только российская действительность. В прочих странах это или невозможно и точка или они просто доступны каждому и так было всегда и как ни странно это так же ведет к убийству данного способа мошенничества.
                                                                                          • 0
                                                                                            >Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.

                                                                                            Не катит объяснять все поступки мошенников рентабельностью. У пострадавшего из поста стерли фотографию и переписку, какая уж тут монетизация.
                                                                                            • 0
                                                                                              Ну это становится неинтересным, Вы теряете нить обсуждения — мой исходный коммент о том, что амазон не обязывался стеречь мир во всем мире. Убытков на самом Амазаоне нанесено не было. Рентабельность угона какого-то там твиттера — это заботы твиттера. Вы на своей работе заботитесь о том чтобы в Сирии не было войны? Плохо заботились, а-я-яй! :)
                                                                                              Мошенник и рентабельность — неразделимы! Иначе он умрет с голоду стирая чужие фотки. Это же очевидно!
                                                                                              • 0
                                                                                                Амазон не обязан стеречь мир во всём мире. Амазон обязан стеречь предоставленную ему отнюдь не для публикации приватную информацию.
                                                                                                Представим себе следующую ситуацию: у нас есть 4 амазона, из которых первый показывает всем желающим первые 4 цифры номера, второй — следующие и т.д. При этом каждый из них, по Вашему мнению, прав, а в результате у любого желающего есть номер карты.

                                                                                                Если Вы считаете эту ситуацию нормальной — то опубликуйте, пожалуйста, номера своих карт в ответе на этот комментарий.
                                                                                                • 0
                                                                                                  Легко, никакой не секрет!
                                                                                                  4058 4441 2740 7677
                                                                                                  Теперь Вы представьте, что полдня потратили на доставание этой инфы и уже банально очень хочется кушать. Так что срочно надо поиметь, ладно черт с ним с полтинником, поимейте хотя бы $3 на гамбургер. :)
                                                                                                  • 0
                                                                                                    Отлично. Теперь я знаю номер карты и Ваше имя. Теперь я могу в зависимости от удачи и правил Вашего банка либо с помощью подбора оплатить Вашей карточкой счет, либо хотя бы заблокировать ее. Хотите?
                                                                                                    • 0
                                                                                                      Ну блокировкой сыт не будешь! А оплатить… Конечно, да — это именно то чего я хочу! Надеюсь хоть после этого фиаско, станет понятно как нерентабельно этим заниматься. :)
                                                                                                      • 0
                                                                                                        Карточка, скорее всего, истекает в ближайшие 3 года. CVC код — трехзначный. Итого 3*365*1000 ~ 1 млн. вариантов. Сколько там дается попыток?)

                                                                                                        Естественно, лично я делать ничего не буду — мои моральные принципы не дают мне причинять достаточно серьезные неудобства человеку, даже если он сам явно на это напрашивается. Но если Вам попадались только такие люди — Вам очень везло, но рассчитывать на такое везение я бы лично не стал.
                                                                                                        • 0
                                                                                                          Есть люди, которые готовы тратить довольно много времени, не получая никакой прибыли — чисто из удовольствия сделать гадость. И это надо учитывать.
                                                                                                          Пример в топике — от удаления фоток с чужого айфона злоумышленник никакой прибыли не получил. Но всё же сделал это зачем-то.
                                                                                                          • 0
                                                                                                            А вот в чем заблуждение. Так это был побочный эффект. Он опять же болезненный для сознания хомячков-параноиков, но поверьте никто не будет тратить свое время и умения на эту фигню когда тоже самое можно конвертировать в деньги рентабельным способом.
                                                                                                            • 0
                                                                                                              Поверьте — будут.
                                                                                                              В качестве эксперимента выложите на каком-нибудь быдлофоруме логин и пароль от мыла, и посмотрите, через какое время пароль сменят.
                                                                                                          • 0
                                                                                                            Где там? Я вообще без понятия что там дальше может быть! Это Вы пытались доказать что таким образом можно заработать — тут все карты в руки! Просим! Фокус! Я до $100 обещаю быть не в претензии! :)
                                                                                                            • 0
                                                                                                              Разумеется, с огромной вероятностью я не получу профита, а Вы останетесь с заблокированной карточкой.
                                                                                                              И тут, как и во многих других случаях, прибыль можно получить только при довольно большом потоке.

                                                                                                              Кроме того, информация о номере моей карточки принадлежит мне. Я ее передаю амазону для совершения покупки, а амазон обещает ее никому не сообщать. Какие у меня мотивы не желать распространения этой информации — совершенно неважно.
                                                                                                              Если амазон не готов сохранять эту информацию в тайне — пусть сообщает мне об этом, я буду думать, готов ли опубликовать ее.
                                                                                                              То же самое относится и к любой другой информации — кто-то может поставить камеру у себя в душе, а кто-то не хочет светить фотки из отпуска. И оба имеют на это полное право.
                                                                                                              Если второй человек закачает свои фотки на какой-нибудь dropbox, а тот их выложит в публичный доступ, то объяснения «а что такого секретного в этой информации» от них будут, на мой взгляд, неприемлимы.
                                                                                                              • 0
                                                                                                                Уже разумнее. Но все что я хотел донести и повторю в последний раз — любая деятельность в том числе охрана и взлом информации стоит денег. Так мир устроен и ждать от него нерентабильности — глупо.
                                                                                                                А еще мы не касались обратной стороны медали собственно из-за которой все и произошло — удобство. Конкурентноспособный сервис должен быть удобным! Это когда бежишь домой после пьянки и хочется слить три литра пива и как можно быстрее, а тут бац — дверь, да еще три замка! И в этот момент так мучительно обидно за эту чертову безопасность! :)
                                                                                                                • 0
                                                                                                                  Здесь Амазон, вероятно, можно прижать за нарушение Privacy Policy, ибо случившееся не попадает под описание того, как они делятся информацией.
                                                                                                                  И вот теперь вопрос резко разворачивается из плоскости монетизации взлома аккаунта в плоскость нарушения Amazon'ом взятых на себя обязательств (Privacy Policy), что повлекло урон. Тут уже юристы должны сказать, сколько и чего можно с него стрясти.

                                                                                                                  Также, вы очень зациклены на монетизации — есть еще нефинансовая сторона атак: конкуренция, месть, зависть, религиозные/расовые/проч предрассудки и т.д. В данном случае задача не получить выгоду себе, а нанести как можно больше урона.
                                                                                                                  Если у человека на Amazon подключена кредитная (а не дебетная карта, или дебетка с овердрафтом) — можно заказать 55 двухдверных холодильников (утрирую, ибо СБ банка или Визы просечет и запросит подтверждения, но суть ясна). А лучше — подписать его на все сервисы Амазона, которые снимают понемногу, но каждый месяц. Будет потом отписываться…
                                                                                                                  А можно банально заказать чего-то оскорбительного (свинины мусульманам, или Main Kampf ветерану ВОВ/WW2), направленного на дестабилизацию брака (шикарного женского белья размера, отличного от размера жены, например :) ) и т.д. Все зависит от того, что известно о жертве.
                                                                                                                  • 0
                                                                                                                    я уже объяснял — все это может случится с 0,010% хомячков. Да им будет больно и обидно. Думаю Амазон по итогам погладит их по головке и утешит. Но строить всю защиту из-за подобных рисков — абсурдно и нерентабельно. Проще потом погладить. ;)
                                                                                                                    • +1
                                                                                                                      Если окажется, что «гладить» каждого хомячка дороже, чем строить защиту — то не проще.
                                                                                                                      А «погладить» — это потратить деньги на компенсацию, юридические аспекты (отказ от претензий, и т.д.), административные аспекты, PR (дабы остальные хомячки не разбежались) или замалчивание в СМИ и т.д. Компании это обходится гораздо дороже той подачки, которую они выдают пострадавшему. А если таких появится пара сотен? Конкуренты-то не дремлют…
                                                                                                                      Плюс, в разных странах разные порядки: если дело дойдет до суда, в стоимость компенсации могут включить затраты на «лечение стресса», оскобленное достоинство и еще ХЗ что. В США особо хищные юристы еще могут забацать Class Action, что обернется Амазону в миллионы, а хомячкам в кукиш с маслом.

                                                                                                                      Ясное дело, что Амазон просчитал (надеюсь) риски при проектировании защиты, но что что-то подсказывает, что а этом кокретном аспекте они прокололись.

                                                                                                                      В общем, тут ситуация как с Ходжой Насреддином: «Ты прав — и ты прав».
                                                                                                                      • 0
                                                                                                                        Я не страдаю гордыней, я верю что амазон умнее меня. И тут каждый пусть сам за себя решает, хотя по комментам видно. ;)
                                                                                                                  • 0
                                                                                                                    Вы считаете, что люди действуют рационально и предпринимают усилия, чтобы причинить ущерб, только если сами при этом получают какую-то выгоду. Это не так.
                                                                                                                    • 0
                                                                                                                      Это так, все остальное 0,01% случаев — ими можно пренебречь. Хотя я прекрасно понимаю что 7ярдов*0,00001=700к человек будут очень обижены.
                                                                                                                      • 0
                                                                                                                        700k человек получают $1000 компенсации за несоблюдение Амазоном Privacy Policy = $700M (это без накладных расходов)
                                                                                                                        повторяем раз в квартал. Сколько останется от Амазона через год? :)
                                                                                                                        • 0
                                                                                                                          С учетом того что все 7 миллиардов у него станут покупать?!!! Фигня! Я привел эти абсолютные цифры как раз как дисклеймер, а не чтобы к ним цепляться. ;) это по прежнему 0,01% — погрешность.
                                                                            • 0
                                                                              При том, что примерно любой желающий может с помощью этой системы получить доступ к аккаунту — какой вообще смысл что-то защищать?
                                                                              • –1
                                                                                Классический юношеский максимализм. :) Если строить защиту, то чтобы НИКТО В МИРЕ!!! Стоимость? — не волнует!!! Иначе же они залезут в аккаунт и узнают что я купил планшет на андроиде за $113! Какой ужас! А там еще и адрес есть!? За мной уже выехали! Они подкараулят у дома и отберут мою прелесть! Ааааа! *изображение белочек-истеричек*
                                                                                • 0
                                                                                  Разумеется, уровень защиты должен быть адекватен защищаемым данным. Просто данный уровень защиты очень близок к защите вообще отсутствующей.
                                                                                  А можно ли считать информацию о покупке на амазоне публичной, или нет — отдельный вопрос.
                                                                                  • 0
                                                                                    Информация конечно не публичная, но и ценность ее никакая. Сколько этот хакер потратил времени до пункта «Амазон» в этой истории? Читается сейчас легко, но реально требовало раздумий и гуглений. Ну скажем 2-3 часа, думаю больше, не принципиально. Цена? Ну давай опять допустим — $50. Хочешь, дам вход в свой аккаунт на Амазоне и попробуй с этими данными срубить $50. :)
                                                                                    • 0
                                                                                      Человек, прочитавший эту статью, для довольно большого количества людей получит эту информацию за пару минут на человека. И я вполне могу представить ситуацию, когда человек не хочет публично светить свой список покупок.

                                                                                      Каждый человек имеет право сам распоряжаться своими данными. Хотите публиковать свою историю покупок или трансляцию с веб-камеры из своей спальни — публикуйте. Я не хочу, и имею право на то, чтобы эта информация не становилась публичной.
                                                                                      • –1
                                                                                        Ну не за пару минут, но хоть бы и за пару — дальше что, «где деньги, Зин»? Даже пара минут стоят денег! Я прекрасно понимаю что каждому нравиться мнить себя пупом земли ;) и считать что список его покупок бесценен!!! А уж камера в доме! *параноиков толпами увозят с инфарктом* :) Мы здесь не про хотелки/нехотелки — все это мещанские предрассудки, мы про бизнес — как хакеру заработать реальный грош, а бизнесу его не потерять?
                                                                                        • +1
                                                                                          Меня не интересует, кто на чем заработает. Меня интересует, чтобы сайт, которому я сообщил информацию, которую я считаю приватной и который обязался ее не разглашать — ее не разглашал.
                                                                                          Если бы амазон предупреждал «любой желающий может за пару минут получить доступ к вашему аккаунту, потому что по нашему мнению он всё равно никому не нужен» — у меня бы к нему претензий не было, я бы просто им не пользовался. Если это предрассудки — я на них имею полное право. Я совершенно не понимаю, на каком основании Вы, амазон или генеральная ассамблея ООН может решать, можно ли внезапно опубликовать мой список покупок, или нельзя.
                                                                                          • –1
                                                                                            ок, весьма понятно. Но мы же не в сказке живем? На амазоне наверно нравится покупать? Дешево там все? ;) А защиту построить денег стоит. А кто за все в конечном итоге платит? ;) Правильно! Боюсь нам придется смеяться над оплаченными микросекундами американского программиста, но раз ты так высоко ценишь свою приватность, то честно скажи сколько ты лично готов заплатить чтобы публичный список покупок стал непубличным/защищенным/очень защищенным. Можно в процентах и помножь на свой годовой бюджет онлайн покупок, черт с ним допустим для начала что он весь в одном амазоне. Если тебе уже стыдно или смешно — можно не отвечать. :)
                                                                                            • 0
                                                                                              Я не требую, чтобы проект предлагал условия, которые мне нравятся. Я требую, чтобы проект соблюдал условия, которые предлагает. Если амазон хочет предоставлять всем желающим доступ к моему аккаунту — пусть он об этом предупреждает на этапе регистрации, чтобы я мог решить, хочу ли я им пользоваться на таких условиях.
                                                                                              • –1
                                                                                                Амазон — не хочет, где написано иное? И он сделал достаточную защиту. Как мы все видим, он работает годы и никаких массовых взломов не происходит. А ты чересчур драматизируешь ситуацию и позволяешь бросаться фразами «Меня не интересует» — типа пусть весь мир расшибется в лепешку, но чтобы все было согласно моим гипертрофированным ощущениям! А цифры я тем не менее не увидел. ;) Т.е. за реальную оценку «секретов» или смешно или стыдно. :)

                                                                                                P.S. Ох, блин, мне тут друг подсказывает что серьезно оторвались на моей карме. Спасибо вам, хомячки-параноики. :) На что готовы люди ради списка покупок! Камедь.
                                                                                                • 0
                                                                                                  Ок, неудачно выразился. «Амазон хочет предоставлять» следует читать как «амазон предоставляет».
                                                                                                  Я не требую, чтобы кто-то брал на себя обязательства делать так, как мне нравится. Я требую лишь выполнения взятых на себя обязательств.

                                                                                                  Хорошо, я готов платить лишний 1% от суммы покупок на амазоне, чтобы доступ к моему аккаунту можно было получить, только зная пароль или имея доступ к мылу. Не понимаю, зачем Вам эта информация, ну да ладно.
                                                                                                  • 0
                                                                                                    *Господи, какой я идиот. :( Я полдня тут распинаюсь о том, что ничего не имеет значения кроме этой самой информации о деньгах на защиту, а он не понял!* :)
                                                                                                    Ну так вот если мы возьмем (мне снова придется придумать) годовой бюджет покупок как $1000, то на защиту останется $10 (десять долларов США). Вот это и есть честная цена Ваших секретов, больше платить Вы сами не согласны, т.к. не имеет смысла. Честно говоря в этом месте полностью поддерживаю — я оцениваю свои секреты о покупках ровно в эту сумму.
                                                                                                    Какую защиту можно построить на эту сумму — даже обсуждать неинтересно.
                                                                                                    • 0
                                                                                                      Только стоимость организации нормальной секьюрности практически не зависит от количества пользователей. Доход амазона за 2011 год >600 кк долларов. Один процент от этого — 6кк. Думаю, на эти деньги можно придумать систему, не позволяющую любому желающему получить доступ к любому аккаунту.
                                                                                                      • 0
                                                                                                        Неправильно считаете, но тут можно долго упорствовать, я лишь хотел показать что реальная цена секретов — $10, а претензий ну не меньше чем на миллион. ;)
                                                                                                        • 0
                                                                                                          Хм, т.е. разработка хоть чуть-чуть менее идиотской системы безопасности стоит больше 6 млн. долларов? Откуда такие данные?

                                                                                                          Когда я арендую за 400 долларов в год сейф в банке, я ожидаю несколько большей секьюрности, чем можно обеспечить чисто исходя из этой суммы. Здесь то же самое.
                                                                                                          • 0
                                                                                                            Т.е цена секретов — $10, а все остальное неадекватная их оценка. Но это даже нормально, это свойственно людям. Плохо когда они с таким видением лезут оценивать коммерческие системы безопасности. Сорри, устал уже, Вы не хотите меня понять, цепляетесь к словам.
                                                                                                            • 0
                                                                                                              Вы считаете, что все должны разделять Ваше отношение к приватности. Это не так.
                                                                                                              И 1% — это сумма, которую я готов дополнительно платить, чтобы была нормальная авторизация. Если амазону надо больше денег — то пусть об этом скажет. И я буду думать, платить, забить на секьюрность или перестать пользоваться амазоном.
                                                                              • +1
                                                                                > Так как в случае взлома — поиметь там особенно нечего
                                                                                Это в вебмагазине то? Как насчёт купить товаров на 100500 денег? Или это «ничего»?
                                                                                Там ведь оригинальная кредитка тоже осталась привязанной.
                                                                                • 0
                                                                                  Ну подумаешь фигня какая :) Или сам зайдешь отменишь когда мыл навалит, а думаю и амазон не дурак — тоже распознает.
                                                                                  • 0
                                                                                    «думаю и амазон не дурак»
                                                                                    После этой статьи я уже так не думаю ((-:
                                                                                    • 0
                                                                                      Это просто его в статье так выставили. Можно было бы написать «хакер произвел звонок по телефону купленному без паспорта и таким образом его невозможно установить». И всем сразу понятно где надо гайки закрутить.
                                                                              • 0
                                                                                То ли дело paypal, а? Привязываем карту два дня еще и с подтверждением от банка (номер операции)
                                                                              • +12
                                                                                Шикарно, с амазоном вообще великолепно вышло :) Только вот зачем было все удалять на эплоустройсвах? Чисто из вредности?
                                                                                • +8
                                                                                  как это обычно и бывает, — «Потому что мог»
                                                                                  • +66
                                                                                    По-моему, потому что пи%$%ас.
                                                                                    • 0
                                                                                      может, он хотел как бы подтолкнуть свою жертву к тому, чтобы продать все свои яблодевайсы (там всё равно ничего не осталось) и купить что-нибудь самсунговое?
                                                                                  • +4
                                                                                    я вот, честно говоря, тоже этого не понял — всё остальное можно было бы даже простить, но вот вайп устройств мне не понятен и отдаёт каким-то безумством
                                                                                    • +5
                                                                                      Синдром Герострата.
                                                                                      Распирает ч(м)удака от собственного «величия»…
                                                                                      • +1
                                                                                        Может быть, личная неприязнь.
                                                                                        • +1
                                                                                          за то что у Мэта был трехбуквенный Twitter, а у злоумышленника нет…
                                                                                          ну хотел ты этот твиттер, получил — зачем человеку жизнь-то окончательно портить удаляя документы и фотографии

                                                                                          побеждать надо тоже уметь — я вот думаю, если бы он не удалил личные данные его поступком скорее бы восхищались (потому что сделано реально красиво) и ругали Amazon\Apple — а так они все выглядят одинаково плохо
                                                                                          • 0
                                                                                            К тому же, твиттер всё равно вернут Мэту.
                                                                                            • 0
                                                                                              ну да — получается что чувак просто удалил важную для этого человека информацию, испортил ему жизнь — и всё ради чего? только ради того, чтобы все вокруг усомнились в традиционности его сексуальной ориентации да ещё и уголовное дело небось заведут ;)
                                                                                      • 0
                                                                                        Знающие люди может подскажут — при удалении данных нет возможности настроить подтверждение по СМС? Иначе завладев данными к учетной записи на me.com можно так просто очищать устройства невинных жертв.
                                                                                        • +1
                                                                                          Вряд ли, ведь оно изначально предназначено для случая, когда злоумышленник завладел телефоном.
                                                                                          • 0
                                                                                            И что? Кейс: мак бук, айпад, старая нокия для подтверждений по смс
                                                                                            • 0
                                                                                              Согласен, как-то сразу не подумал. Было бы не плохо.
                                                                                        • 0
                                                                                          У меня было так же, подобрали пароль от appleID и единственное что смогли сделать, сделали: вайпнули телефон, хорошо телефон почти каждую ночь пока в розетке бэкапится на сервак аппла и потерь не было почти
                                                                                          • 0
                                                                                            Мошенник говорит, что это его партнер.
                                                                                            Тот, который фишку с амазоном провернул.
                                                                                            www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
                                                                                            • 0