0,0
рейтинг
7 августа 2012 в 12:34

Разработка → Как, зная только имя и email человека, злоумышленники получили доступ ко всем его аккаунтам и удаленно уничтожили информацию на всех его устройствах

Очень интересная статья появилась сегодня на wired.com. Буквально за один час у автора статьи Мэта Хонана были взломаны Amazon, GMail, Apple и Twitter аккаунты и была удаленно уничтожена информация на его iPad, iPhone и MacBook. Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки. Очень интересно в этой истории то, как злоумышленник получил доступ к Amazon аккаунту и AppleID — для этого не понадобилась ничего, кроме доступной в сети информации и телефона.

Злоумышленнику приглянулся трехбуквенный Twitter Мэта. С целью заполучить его, он провел небольшое исследование, в ходе которого обнаружил, что Twitter аккаунт Мэта содержал ссылку на его личный сайт, который, в свою очередь, содержал его GMail адрес. Имея GMail адрес, злоумышленник начал процесс восстановления пароля. Так как двухступенчатая авторизация у Мэта включена не была, гугл на первом экране восстановления пароля предоставил любезно обфусцированный альтернативный адрес: m****n@me.com. Сопоставив этот паттерн с gmail-адресом mhonan@gmail.com, злоумышленник получил Apple-овский email автора.
Первое, что было необходимо злоумышленнику для того, чтобы приступить к интересной части, это адрес Мэта, который легко обнаружился WhoIs сервисом в информации о его личном сайте. Имея адрес, злоумышленник позвонил в Амазон и сказал, что он владелец аккаунта и хочет добавить новую кредитную карту. Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email — вся эта информация у злоумышленника уже была, и он успешно ввел номер несуществующей кредитной карты, заблаговременно сгенерированный на одном из специализированных сайтов.
Затем он позвонил в Amazon опять, и сказал, что потерял доступ к своему Amazon аккаунту. Amazon попросил имя, адрес и номер кредитной карты. После предоставления этой информации (добавленный на предыдущем шаге номер кредитной карты подошел), злоумышленник смог добавить новый email адрес к аккаунту, на который восстановил пароль. В амазон аккаунте можно посмотреть список сохраненных кредиток, где, в целях безопасности, показываются только последние четыре цифры номера.
Затем злоумышленник звонит в AppleCare, где его спрашивают имя, адрес и последние четыре цифры кредитной карты, и выдают ему временный пароль на .me аккаунт. На этот аккаунт злоумышленник восстанавливает пароль от GMail, а на GMail пароль от Twitter. Используя AppleId он также удаляет всю информацию с iPhone, iPad и MacBook используя сервисы Find My Phone и Find My Mac. Печальный конец истории.

Позже Мэт связался с Apple, где ему сказали, что в данном конкретном случае внутренний регламент не был соблюден в полной мере, и что Apple относится к безопасности пользователей очень серьезно. Амазону тоже был отправлен запрос от Wired, но пока что ответа не последовало.
Сегодня, спустя три дня после того, как все это произошло, ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями.
Александр Скиданов @SkidanovAlex
карма
140,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (328)

  • +102
    Красиво.
    • +7
      С жутким русским акцентом не прокатило :(
      • +51
        Лет ми спик фром май харт… И вонт ту гет бэк акцесс ту май аккаунт Джон Смит… То есть как фак ю?
        • +17
          Ол йор бэйз ар белонг ту аз!
        • +1
          Ю кэн траст ми. Ай хэв э пэн.
      • +4
        Вы только представьте, сколько за последнее время саппорты упомянутых в статье организаций получили звонков с просьбой восстановить аккаунт почему-то одного конкретного экстремально забывчивого Мэта Хонана :)
    • +8
      похоже на анекдот про Челночную дипломатию
      • +1
        напомните?
        • +93
          Однажды у Генри Киссинджера спросили:
          — Что такое «челночная дипломатия»?
          Киссинджер ответил:
          — О! Это универсальный метод! Поясню на примере: вы хотите методом челночной дипломатии выдать дочь Рокфеллера замуж за простого парня из русской деревни.
          — Каким образом?
          — Очень просто. Я еду в русскую деревню, нахожу там простого парня и спрашиваю:
          — Хочешь жениться на американской еврейке?
          Он мне:
          — На*рена?! У нас и своих девчонок полно.
          Я ему:
          — Да. Но она — дочка миллиардера!
          Он:
          — О! Это меняет дело…
          Тогда я еду в Швейцарию, на заседание правления банка и спрашиваю:
          — Вы хотите иметь президентом сибирского мужика?
          — Фу, — говорят мне в банке.
          — А если он, при этом, будет зятем Рокфеллера?
          — О! Это конечно меняет дело!
          И такида, я еду домой к Рокфеллеру и спрашиваю:
          — Хотите иметь зятем русского мужика?
          Он мне:
          — Что вы такое говорите, у нас в семье все — финансисты!
          Я ему:
          — А он, как раз, — президент правления Швейцарского банка!
          Он:
          — О! Это меняет дело! Сюзи! Пойди сюда. Мистер Киссинджер нашел тебе
          жениха. Это президент Швейцарского банка!
          Сюзи:
          — Фи… Все эти финансисты — дохляки или педики!
          А я ей:
          — Да! Но этот — здоровенный сибирский мужик!
          Она:
          — Ооо! Это меняет дело!
    • 0
      Да еще и технично так, без лишних движений.
  • +38
    Мораль сей басни? Используйте двухступенчатую авторизацию на gmail и храните PIN коды для аварийного доступа в случае утери телефона в надёжном месте :)
    • +4
      Мораль басни — не используйте трехзначные адреса в твиттере, трехзначные номера в ICQ и прочие «красивые» штуки, которые могут привлечь внимание злоумышленников :)
      • +18
        back up'ы товарищи back up'ы…
        • +25
          Бэкапы гуглового контента на амазоне, бэкапы амазоновского на эппле, бэкапы эпплового у гугла… Блин, не помогает! :(
          • +3
            Согласен
            а теперь о морали (больше всего чувак жалеет о потери фото своей дочки)

            Mat Honan «I should have been regularly backing up my MacBook. Because I wasn’t doing that, if all the photos from the first year and a half of my daughter’s life are ultimately lost, I will have only myself to blame.»
            • +3
              А он прям стирает с каким-нибудь перезаписыванием? Иначе же восстановить можно без особых проблем. Хотя если он стирает по-обычному, толку от этих функций маловато.
              • 0
                Возможно пока не стыкался не  знаю (
              • +1
                он стирает по обычному, иначе процесс бы занял больше 2-3х часов (250гб) с 2-3 циклами забивания нулями
                • +1
                  Если это SSD, то одна «правильная» команда очистки раздела позволяет контроллеру пометить весь раздел как пустой без возможности восстановления данных (которое заключается в чтении данных раздела, игнорируя очищенную файловую таблицу). Аналогично и включённый TRIM делает обычное удаление файлов безопасным по умолчанию. ИМХО, и возможно, я не прав.
            • +3
              Выходит, что электронные носители подвержены угрозам целостности не менее, а еще более чем материальные. У многих в семейных архивах есть фото начала XX века. А представьте себе путь, который должны пройти цифровые фотографии, чтоб дожить до 2112 года?
              • 0
                И сейчас (когда даже мама предпочла цифровую фото рамку), привычка супруги заказывать неимоверное количество отпечатков цифровых фотографий мне вдруг показалась не такой уж глупой.
          • +3
            Бэкапы гуглового, амазоновского и эпплового контента на простом дедовском DVD, а особо важные — на бумаге:)
            • +2
              Простой дедовский ДВД стал слишком мал для современных объёмов при сохранении удобства. На двд-шках можно устроить полноценую систему бэкапов, но довольно геморройно.

              В общем, это всё понятно. Тут с другой стороны проблема получается. И бэкапы, вроде есть и удобно в облаке лежат, но не помогает. С дивидишками и винчестерами проблема, на самом деле, похожая — пожар или воры легко избавят вас от бэкапов. А хранение в несгораемом ящике, территориально отдалённо — жутко неудобно. И как раз это, вроде бы, решалось облаком, но оно вона как получается.

              То есть сам по себе бэкап не спасает, надо тщательно разрабатывать и поддерживать систему хранения и управления копиями. Для домашнего пользователя задача крайне сложная.
              • +2
                С ДВД, кстати, как минимум, можно удобно хранить фото. Беглый опрос друзей показал, что абсолютному большинству нефотографов (эти ребята хранят у себя тысячи всяческих равов огромного разрешения, с ними разговор особый) этого хватает, хранить несколько десятков ДВД и перриодически их перезаписывать — можно.
                Вот даже с личными видео такое уже не работает.
                С рабочей информацией — зачастую совсем неудобно, там многим нужно бэкапиться часто, а ДВД замедляет процесс как бэкапа, так и восстановления.
                • 0
                  С рабочей проще — меньше объём. Весь вопрос в организации — я сейчас стараюсь всё хранить компактно.

                  А фотки да… ими забито всё что только можно. Хотя д800 дисциплинирует рав 45м, джпг 13м)
                • 0
                  DVD отвратительно мало хранятся. При чём время хранения мало зависит от брэнда. Скажем, у меня сейчас не читаются уже многие диски всего лишь 2007-го года записи. А постоянную регулярную перезапись очень мало кто осиливает. Особенно если данных под 250Гб — это придётся всё свободное время на перезапись тратить…

                  Я пока делаю просто версионный бэкап своего фотоархива на HDD другой машины, но метод тоже далёк от идеала. Хотя бы потому, что обе машины в одном помещении. Случись пожар какой… Всё, 10 лет семейного архива — как ни бывало…
            • +3
              жаль, что у моего деда не было DVD…
              • 0
                Ну, у вас хотя бы его фотографии сохранились, я надеюсь. А был бы DVD — едва ли. Китайские (правда, CD) болванки десятилетней давности, лежавшие в темном шкафчике (комнатная температура и влажность), потихоньку начали обсыпаться.
                • 0
                  CD ещё намного надёжнее, чем DVD. Всё же, золото CD-R намного лучше хранится, чем органический краситель DVD-R.
      • +2
        Работает ровно до тех пор, пока вы не привлечете внимание злоумышленников другим способом.
    • 0
      Верно. Но вместо «храните PIN коды», можно еще использовать альтернативный (дополнительный) номер телефона. Хотя одно другому не мешает, но снижает стойкость.
      • 0
        Если вы распечатали эти самые коды и положили к остальным документам дома, то я думаю это можно считать достаточно надёжным способом хранения — из интернета точно не украдут :D
    • +2
      Это не мораль сей басни, так как доступа к gmail взломщик не получил.
      Тут жесткий провал в проверке безопасности Amazon, как написал ecl http://habrahabr.ru/post/149179/#comment_5040813
      • 0
        Извиняюсь, всё же получил. Странно только, что с помощью me email'a
    • +2
      Я был очень рад когда гмаил добавил телефоны для восстановления пароля. Пароль от мыла должен выдержать несколько тысяч лет брутфорса и нигде больше не используется. Если пропадет мыло — пропадет все остальное. С мылом все можно восстановить. Остаются только вирусы, но я как то ими обычно не балуюсь и с чужих компьютеров в гмыл не хожу. Предосторожности надо соблюдать, не использовать двухфакторную аутентификацию на мастер аккаунте если она есть просто верх небрежности.
      • +4
        Это все конечно да. Но существует куча кейсов, когда у вас могут угнать аккаунт.

        Вот, например, привязан у вас гмэил акк к андроидовскому телефону. Злоумышленнику достаточно отжать этот телефон у вас (например, просто выхватив из рук). При наличии сообщника можно украсть пару акков за 5 минут. И пароль от самого гуглааккаунта не больно-то нужен.
        Причем вы на это время будете лишены связи и не сможете вовремя все заблокировать.

        Причем в условиях московского метро ситуация не выглядит фантастической.
        • +2
          Думаю, за то время, пока вор подберет всего-то 6-символьный пин я успею заблокировать аккаунт)
          • 0
            Точнее, не заблокировать, а сменить пароль.
          • 0
            да вы параноик)
          • 0
            Стоп стоп стоп. Понятно, что если вы никогда при людях не вводите пин к телефону. Не читаете твиттер в метро и т.д., то таким способом вас не раскусить.

            Но если вы ввели пин и спокойно читаете почту/джаббер или еще что-то, то вы потенциально уязвимы и последствия могут быть весьма плачевными.

            Вот я именно об этом.

            Для вас возможно найдется и другой способ, посложнее. Нельзя ведь все рассчитать.
            • 0
              Нужно что-то типо Android'ного Face Unlocker'а, только, чтобы он следил, кто смотрит в комп. Тогда, как только у вас выхватят телефон, он заблочится и потребует пин. Хотя, конечно, тогда возникает проблема с освещением…
      • 0
        Кстати, года два назад был случай, когда у клиента Альфабанка угнали много денег со счета.
        Как? Просто «восстановив» его симку по поподдельному документу.
        • 0
          Кстати, у одного из Опсосов есть услуга — отказ от действий по доверенности. Если подключишь, то, типа, все действия только лично можешь совершать)
    • +1
      Мораль сей басни — используйте свои собственные почтовые серверы.
      • +1
        Ко-локейшн недоступен большинству пользователей и при выходе из строя надолго останешься без почты. Выделенный сервер — собственность хостера, тоже вопрос, кто может к нему доступ получить…
  • +3
    Красиво все провернул, что тут скажешь :)
  • +80
    Ну явный же косяк у Амазаона, дать привязать карту зная только email без подтверждения привязки письмом, и тут же дать возможность восстановления аккаунта на основе данных свежей карты.
    • +5
      меня больше удивило, что ВОТ ЭТО не вызывало у Amazon'а никакого абсолютно подозрения, причём если привязка и восстановление аккаунта были сделаны в один день — очень странно.
      • +15
        просто суппортяне наверняка разные и история обращений у них перед глазами не светится.
        а вообще странно, тот же пейпал для подтверждения карты хотя бы бакс захолдит, а тут по левому номеру вообще восстановили.
        • +3
          Они непуганные. Моего знакомого в пиндостане для проверки личности при крупной покупке по кредитке попросили предъявить… страничку в фейсбук.

          А другой знакомый успешно ломал ящики крупных российских мейл хостеров простым и незатейливым способом: отправлял себе на несколько адресов 100-500 писем со спамом с подделанными заголовками, а потом жаловался в саппорт, который просто выпиливал ящик под ноль. Всё что оставалось — зарегать адрес заново.
          • +1
            Все непуганные. У нас при получении X.509-сертификата в Comodo неком импортном CA сначала требовали добавления компании в yellow pages на каком-то спец.сайте, а когда мы ответили «мы давно отправили заявку, но всё никак не публикуют» (так и есть), то приняли в качестве доказательства существования компании сканы рег.документов и лицензий, т.е. просто картинки, которые мы могли бы и нарисовать… Причем английское название компании, которое мы заявили в сетификате, не совпадает с указанным в русских рег.документах.
            • 0
              Так не только Comodo себя ведет. У Thawte такие же косяки. Нас для получения сертификата тоже просили куда-то добавиться, так там вообще вики-принцип, сами себя добавили без единой проверки. После этого я полностью перестал верить в Extended Validation сертификаты…
        • +3
          Кстати, наверняка светится. Из чего суппортянин делает вполне логичный вывод: чувак зарегал карту, попытался что-то купить и вспомнил, что забыл пароль. Вполне распространенный сценарий.
    • +2
      Думаю амазон не считал операцию по привязке карты такой уж опасной, ну кому хуже если к его аккаунту привязали чужую карту? А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
      • 0
        А бакс захолдить для проверки карты слабо? Хотя это тоже проблемы не решит, можно ведь и виртуалку на бакс сгенерить.
        • –1
          Где-то можно сгенерить виртуалку без привязки к своей личности?
          • +3
            Qiwi с симкой на бомжа или с Украины. Достаточно?
          • 0
            mastercard prepaid
          • +3
            В США — на каждом углу можно купить анонимные Visa и Mastercard
            • 0
              Угу, только активировать их нужно на мобильный номер. То есть начинать нужно таки с анонимной симки.
              • +3
                Нет, на сумму до 500 долларов никакого мобильника не надо. Я пользуюсь этими картами, когда не хочу светить по той или иной причине свой настоящий адрес или имя(можно указать любой адрес и любое имя). Это называется Visa Gift Card (что-то похожее есть и у Мastercard и American Express).
                • 0
                  Любопытно, спасибо. Надо будет посмотреть, есть ли такое в Германии. Потому что до сих пор видел только myWirecard и Yuna, которые привязаны к мобильному номеру с любой суммой.
                • 0
                  И у Вас gift card работала с AWS? Я как-то пробовал gift карту, aws ее отклонил, поддержка aws сказала что надо карту привязать к реальному адресу. Если у Вас прошел такой номер, поделитесь плиз конкретным типом gift карты.
                  • 0
                    Конкретно с AWS не проверял, но поддержка права: карта должна быть привязана к какому-то адресу. Именно поэтому на большинстве gift cards (во всяком случае, со всеми gift cards с которыми я имел дело) есть функция привязки карты к реальному американскому адресу. ЗахОдите на соответствующий URL, вписываете там имя-фамилию, почтовый адрес, email. После этого карта по-идее должна работать в ин-те везде, где принимается карта Виза, Ну, почти везде — в крайне редких случаях карта, определяющаяся как gift card (по первым 6 цифрам) может быть отклонена. У меня это произошло только один раз — когда я дал такую карту на intellius.com — они собирают всю информацию (ФИО, адрес, телефон) о тех, кто им платит по реквизитам платежа и пополняют свою базу данных таким образом. Соответственно, оплату gift card-ами не принимают. Но это был единственный случай на моей памяти.

                    Я пользовался картами TDBank-a ( www.tdbank.com/giftcards/index.html, правда, вроде купить можно только в отделениях банка, но у меня всё равно там есть счет и отделение рядом с домом). Регистрация карты и привязка к почтовому адресу здесь: esecure.tdbank.com/giftcardinfo/index.html

                    Можете попробовать Vanilla Visa: www.vanillavisa.com/product.html
                    Эти карты продаются в любой аптеке.
                    • 0
                      В.ру все просто — живой пример — на улицах подключают к теле2, паспорт нужен, но вознаграждение за подключение еще нужнее, дальше qiwi QVC, адрес от балды и AWS все это кушает
      • +3
        Не панацея. Если злоумышленник создал карту, то скорей всего там была какая-то сумма. Такие карты продаются в сети с различным балансом. Там предоставляется card holder, cvv и дата истечения. Так что проблем зарегистрировать карту с нужным балансом нет никаких.
        Разве что, опять же по схеме paypal, при снятии $1 сообщать pin, который потом должен ввести владелец (можно посмотреть в истории операций), но опять же, нет уверенности, что эти данные не смог бы получить злоумышленник. Но во всяком случае — это бы усложнило.
      • +1
        Создать/купить Visa Virtual с 5$ не проблема.
      • +1
        > Думаю амазон не считал операцию по привязке карты такой уж опасной
        Наверно, но всё равно это не повод разрешать добавлять карты кому угодно. А ведь email, имя и адрес — публичная же фактически информация. По сути так кто угодно может добавить пользователю Амазона свою карту — это очень и очень неправильно. Особенно учитывая, что потом через этот ход можно увести аккаунт.

        > А вот проследить связь привязки карты с восстановлением пароля они не смогли:)
        Тем хуже, ибо кому как не им?

        Амазон промудачили ужасно. Удивительно как для такого немолодого и немаленького сервиса.
        • 0
          Меня больше беспокоит то, с какой легкостью эпловская тех поддержка восстановила пароль.
          Имхо, если вы забыли свой пароль, то только личный визит должен разрешать ситуацию. Заодно в следующий раз будет не повадно.
          • 0
            Тоесть то, что Амазон позволяет увести ваш аккаунт любому, кто знает email, имя и адрес — это вас не беспокоит? Ок…
            • 0
              Я не это имел в виду. Просто я амазоном не пользуюсь, а вот такие возможности взлома на me.com мне совсем не нужны.

              То что амазон накосячил лично у меня сомнений не вызывает.
          • +2
            Например, личный визит из Москвы в Купертино? О_о
            • 0
              В любой сервис центр эпла.
              Это конечно не панацея, но я думаю сильно понизит вероятность мошенничества.
    • +2
      Ну тут немного несправедливо пенять на Амазон! Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне. Так как в случае взлома — поиметь там особенно нечего. А тот факт что их использовали как промежуточное звено — ну так ни один бизнесмен не будет у себя в бизнесе строить защиту уровня гостайны для сохранения мира во всем мире…
      • +6
        >Они выстроили _достаточную_ защиту для охраны своего бизнеса и безопасности аккаунтов клиентов на Амазоне.

        Если система защиты позволяет, пользуясь лишь публично доступными данными, войти в аккаунт, то она никак не может быть достаточной, неважно даже что хранится в сервисе. Вообще с безопасностью на Амазоне никогда не было слишком хорошо, чего стоят транзакции без CVV2 или чего-нибудь вроде Visa Verified.
        • +4
          От удобства — выгоды больше. Давайте не будем забывать, амазон — одна из самых успешных компаний в мире. Они там максимализмом не болеют. Про него я ниже ответил.
          • +1
            Давайте не будем оправдывать чужое раздолбайство успешностью. Айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.
            В аккаунте Амазона есть адреса доставки, части номеров карт (они кстати могут пригодиться для звонков не только в Apple) и вся история заказов. Хоть вам вся эта информация и не кажется ценной, я сильно сомневаюсь, что клиенты Амазон с радостью готовы делиться ей направо и налево. Могу представить себе шум, который бы поднялся, окажись такая база публично доступной.
            «Не волнуйтесь, ничего ценного не пропало, там лишь ваши адреса, карточки и списки заказов».
            • 0
              > айфон — вон какая успешная штука, однако же не перестает требовать пароль даже перед установкой бесплатного приложения.

              Ну для платных приложений это 100% нужно чтобы в случае кражи у вас айфона вы не лишились всех денег на своей карте.

            • 0
              Ну не с радостью и не база… А если поменьше белочек-истеричек и побольше здравого смысла, вон там комментарием ниже я предложил поиграть с более конкретными условиями. Попробуйте. ;)

              P.S. А вообще мое отношение к ПД хорошо описано в этом посте.
              • –1
                Вы серьезно полагаете, что кто-то пойдет ковыряться в вашем аккаунте для того, чтобы поддержать разговор? С такими предложениями, пожалуйста, куда-нибудь в журнал Хакер.
                • 0
                  Правильный ответ! Никто не будет. Хотя я предлагал только придумать идею. ;) Но так даже понятнее получилось. И никто не будет тратить 3 часа ($50) на его взлом, чтобы так же безрезультатно там побродить… Исходя из этого и строилась защита амазона.
                  • 0
                    Какая занимательная логика :) С вашим подходом Амазону стоило бы оставить одно поле для емейла, ведь добрые люди никогда не полезут в чужой аккаунт.
                    Простая аналогия. Я даже фанерную дверь на шпингалете не собираюсь без особой на то необходимости вскрывать, но разве это значит, что такая дверь будет достаточной для защиты квартиры?
                    • 0
                      Нет, не будет, ибо как монетизировать «работу» по проникновению в чужую квартиру — весьма понятно, а вопрос как монетизировать «работу» по проникновению в аккаунт амазона — остался без ответа, поэтому я и настаиваю на том что «фанерная дверь» в амазон — вполне себе защита.
                      • 0
                        Есть железная дверь в квартиру против воров. А есть кодовый замок на подъезде против хулиганов. Одно другое не заменяет, а дополняет.
                        Если в квартире нет ничего ценного, то без железной двери в нее можно обойтись. Но тогда нужен домофон, потому что иначе кто-то придет в квартиру и нагадит.
                        • –1
                          Тебя все время несет вокруг да около! где мои 50 долларов??? :) Я хочу деньги за потраченное время. И я не буду гадить у тебя в квартире, даже за фанерной дверью! Прости если это звучит для тебя обидно и тебе приятно думать что каждый в мире мечтает нагадить в твоей квартире и за ценой не постоит! :) Это слишком далекая и неудачная аналогия к этой статье. Все сводится к вопросу — зачем тратить $51 на защиту $50? Ты будешь тратить? Я — нет!
                          • +2
                            Я не готов тратить время просто для того, чтобы сделать гадость. Но есть довольно много «людей», которые готовы. Посмотрите, сколько заборов исписаны словами из 3х букв, сколько сломанных скамеек и качелей на детских площадках и т.д.
                            • 0
                              Ты знаешь, в этом отличие России от западного мира, я участвовал в стартапах и там и там. Принципиально разное отличие именно в защите и подходу к социальной инженерии и как следствие часто даже к самой идее.
                              Вот и здесь и сейчас. Оказывается за сегодня мне конкретно в карму нагадили. И за что? Можно подумать кого-то обидел? Или кто-то вообще в полемику вступил кроме вас двоих? Аргументов-то нет, сказать нечего, а «на те в карму сука, морда мне твоя не нравится». :)
                              • 0
                                Ну да, в Европе я следы вандализма ради вандализма видел куда реже, чем в России. Но всё же видел. Люди везде более-менее одинаковые.
                                А уж в буржнете хулиганов точно хватает.

                                PS. Лично я поставил Вам в карму минус не за Вашу точку зрения (я ее не разделяю, но вполне признаю Ваше право так считать), а за манеру выражаться.
                                • +1
                                  Опс, а я и не заметил как ice9 пропал, а ты подхватил эту ветку. :)
                                  Совсем уж офтоп, вандализм в чужом городе всегда бросается в глаза. А вот лучше взять подъезды, за 5 лет в Праге не видел ни одного(!) изуродованного, хотя бывают такие конечно, в России, я не могу вспомнить ни одного чистого, хотя наверно есть…
                      • 0
                        Простейший способ монетизации — назаказывать на Амазоне товаров со срочной доставкой. Более изощренный(доступ к емейлам, а затем и к другим сервисам) мог бы быть описан в тексте этого поста.
                        Пример из жизни. Базы жителей города с ФИО, телефонами и датами рождения достаточно для того, чтобы какие-то неприятные люди начали обзванивать родственников человека, рассказывая, что человек в беде и за него надо заплатить какие-то деньги.
                        К чему я веду? Плохие люди встречаются, они довольно изобретательны и постоянно работают на тем, как испортить окружающим жизнь тем или иным способом, поэтому я считаю, что лучше сделать одно-два лишних телодвижения, чем читать про себя в новостях.
                        • 0
                          Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.
                          Базы данных — это только российская действительность. В прочих странах это или невозможно и точка или они просто доступны каждому и так было всегда и как ни странно это так же ведет к убийству данного способа мошенничества.
                          • 0
                            >Не катит. Этот способ существует с куда более дешевым и массовым входом. Опять нерентабельно.

                            Не катит объяснять все поступки мошенников рентабельностью. У пострадавшего из поста стерли фотографию и переписку, какая уж тут монетизация.
                            • 0
                              Ну это становится неинтересным, Вы теряете нить обсуждения — мой исходный коммент о том, что амазон не обязывался стеречь мир во всем мире. Убытков на самом Амазаоне нанесено не было. Рентабельность угона какого-то там твиттера — это заботы твиттера. Вы на своей работе заботитесь о том чтобы в Сирии не было войны? Плохо заботились, а-я-яй! :)
                              Мошенник и рентабельность — неразделимы! Иначе он умрет с голоду стирая чужие фотки. Это же очевидно!
                              • 0
                                Амазон не обязан стеречь мир во всём мире. Амазон обязан стеречь предоставленную ему отнюдь не для публикации приватную информацию.
                                Представим себе следующую ситуацию: у нас есть 4 амазона, из которых первый показывает всем желающим первые 4 цифры номера, второй — следующие и т.д. При этом каждый из них, по Вашему мнению, прав, а в результате у любого желающего есть номер карты.

                                Если Вы считаете эту ситуацию нормальной — то опубликуйте, пожалуйста, номера своих карт в ответе на этот комментарий.
                                • 0
                                  Легко, никакой не секрет!
                                  4058 4441 2740 7677
                                  Теперь Вы представьте, что полдня потратили на доставание этой инфы и уже банально очень хочется кушать. Так что срочно надо поиметь, ладно черт с ним с полтинником, поимейте хотя бы $3 на гамбургер. :)
                                  • 0
                                    Отлично. Теперь я знаю номер карты и Ваше имя. Теперь я могу в зависимости от удачи и правил Вашего банка либо с помощью подбора оплатить Вашей карточкой счет, либо хотя бы заблокировать ее. Хотите?
                                    • 0
                                      Ну блокировкой сыт не будешь! А оплатить… Конечно, да — это именно то чего я хочу! Надеюсь хоть после этого фиаско, станет понятно как нерентабельно этим заниматься. :)
                                      • 0
                                        Карточка, скорее всего, истекает в ближайшие 3 года. CVC код — трехзначный. Итого 3*365*1000 ~ 1 млн. вариантов. Сколько там дается попыток?)

                                        Естественно, лично я делать ничего не буду — мои моральные принципы не дают мне причинять достаточно серьезные неудобства человеку, даже если он сам явно на это напрашивается. Но если Вам попадались только такие люди — Вам очень везло, но рассчитывать на такое везение я бы лично не стал.
                                        • 0
                                          Есть люди, которые готовы тратить довольно много времени, не получая никакой прибыли — чисто из удовольствия сделать гадость. И это надо учитывать.
                                          Пример в топике — от удаления фоток с чужого айфона злоумышленник никакой прибыли не получил. Но всё же сделал это зачем-то.
                                          • 0
                                            А вот в чем заблуждение. Так это был побочный эффект. Он опять же болезненный для сознания хомячков-параноиков, но поверьте никто не будет тратить свое время и умения на эту фигню когда тоже самое можно конвертировать в деньги рентабельным способом.
                                            • 0
                                              Поверьте — будут.
                                              В качестве эксперимента выложите на каком-нибудь быдлофоруме логин и пароль от мыла, и посмотрите, через какое время пароль сменят.
                                        • 0
                                          Где там? Я вообще без понятия что там дальше может быть! Это Вы пытались доказать что таким образом можно заработать — тут все карты в руки! Просим! Фокус! Я до $100 обещаю быть не в претензии! :)
                                          • 0
                                            Разумеется, с огромной вероятностью я не получу профита, а Вы останетесь с заблокированной карточкой.
                                            И тут, как и во многих других случаях, прибыль можно получить только при довольно большом потоке.

                                            Кроме того, информация о номере моей карточки принадлежит мне. Я ее передаю амазону для совершения покупки, а амазон обещает ее никому не сообщать. Какие у меня мотивы не желать распространения этой информации — совершенно неважно.
                                            Если амазон не готов сохранять эту информацию в тайне — пусть сообщает мне об этом, я буду думать, готов ли опубликовать ее.
                                            То же самое относится и к любой другой информации — кто-то может поставить камеру у себя в душе, а кто-то не хочет светить фотки из отпуска. И оба имеют на это полное право.
                                            Если второй человек закачает свои фотки на какой-нибудь dropbox, а тот их выложит в публичный доступ, то объяснения «а что такого секретного в этой информации» от них будут, на мой взгляд, неприемлимы.
                                            • 0
                                              Уже разумнее. Но все что я хотел донести и повторю в последний раз — любая деятельность в том числе охрана и взлом информации стоит денег. Так мир устроен и ждать от него нерентабильности — глупо.
                                              А еще мы не касались обратной стороны медали собственно из-за которой все и произошло — удобство. Конкурентноспособный сервис должен быть удобным! Это когда бежишь домой после пьянки и хочется слить три литра пива и как можно быстрее, а тут бац — дверь, да еще три замка! И в этот момент так мучительно обидно за эту чертову безопасность! :)
                                              • 0
                                                Здесь Амазон, вероятно, можно прижать за нарушение Privacy Policy, ибо случившееся не попадает под описание того, как они делятся информацией.
                                                И вот теперь вопрос резко разворачивается из плоскости монетизации взлома аккаунта в плоскость нарушения Amazon'ом взятых на себя обязательств (Privacy Policy), что повлекло урон. Тут уже юристы должны сказать, сколько и чего можно с него стрясти.

                                                Также, вы очень зациклены на монетизации — есть еще нефинансовая сторона атак: конкуренция, месть, зависть, религиозные/расовые/проч предрассудки и т.д. В данном случае задача не получить выгоду себе, а нанести как можно больше урона.
                                                Если у человека на Amazon подключена кредитная (а не дебетная карта, или дебетка с овердрафтом) — можно заказать 55 двухдверных холодильников (утрирую, ибо СБ банка или Визы просечет и запросит подтверждения, но суть ясна). А лучше — подписать его на все сервисы Амазона, которые снимают понемногу, но каждый месяц. Будет потом отписываться…
                                                А можно банально заказать чего-то оскорбительного (свинины мусульманам, или Main Kampf ветерану ВОВ/WW2), направленного на дестабилизацию брака (шикарного женского белья размера, отличного от размера жены, например :) ) и т.д. Все зависит от того, что известно о жертве.
                                                • 0
                                                  я уже объяснял — все это может случится с 0,010% хомячков. Да им будет больно и обидно. Думаю Амазон по итогам погладит их по головке и утешит. Но строить всю защиту из-за подобных рисков — абсурдно и нерентабельно. Проще потом погладить. ;)
                                                  • +1
                                                    Если окажется, что «гладить» каждого хомячка дороже, чем строить защиту — то не проще.
                                                    А «погладить» — это потратить деньги на компенсацию, юридические аспекты (отказ от претензий, и т.д.), административные аспекты, PR (дабы остальные хомячки не разбежались) или замалчивание в СМИ и т.д. Компании это обходится гораздо дороже той подачки, которую они выдают пострадавшему. А если таких появится пара сотен? Конкуренты-то не дремлют…
                                                    Плюс, в разных странах разные порядки: если дело дойдет до суда, в стоимость компенсации могут включить затраты на «лечение стресса», оскобленное достоинство и еще ХЗ что. В США особо хищные юристы еще могут забацать Class Action, что обернется Амазону в миллионы, а хомячкам в кукиш с маслом.

                                                    Ясное дело, что Амазон просчитал (надеюсь) риски при проектировании защиты, но что что-то подсказывает, что а этом кокретном аспекте они прокололись.

                                                    В общем, тут ситуация как с Ходжой Насреддином: «Ты прав — и ты прав».
                                                    • 0
                                                      Я не страдаю гордыней, я верю что амазон умнее меня. И тут каждый пусть сам за себя решает, хотя по комментам видно. ;)
                                              • 0
                                                Вы считаете, что люди действуют рационально и предпринимают усилия, чтобы причинить ущерб, только если сами при этом получают какую-то выгоду. Это не так.
                                                • 0
                                                  Это так, все остальное 0,01% случаев — ими можно пренебречь. Хотя я прекрасно понимаю что 7ярдов*0,00001=700к человек будут очень обижены.
                                                  • 0
                                                    700k человек получают $1000 компенсации за несоблюдение Амазоном Privacy Policy = $700M (это без накладных расходов)
                                                    повторяем раз в квартал. Сколько останется от Амазона через год? :)
                                                    • 0
                                                      С учетом того что все 7 миллиардов у него станут покупать?!!! Фигня! Я привел эти абсолютные цифры как раз как дисклеймер, а не чтобы к ним цепляться. ;) это по прежнему 0,01% — погрешность.
      • 0
        При том, что примерно любой желающий может с помощью этой системы получить доступ к аккаунту — какой вообще смысл что-то защищать?
        • –1
          Классический юношеский максимализм. :) Если строить защиту, то чтобы НИКТО В МИРЕ!!! Стоимость? — не волнует!!! Иначе же они залезут в аккаунт и узнают что я купил планшет на андроиде за $113! Какой ужас! А там еще и адрес есть!? За мной уже выехали! Они подкараулят у дома и отберут мою прелесть! Ааааа! *изображение белочек-истеричек*
          • 0
            Разумеется, уровень защиты должен быть адекватен защищаемым данным. Просто данный уровень защиты очень близок к защите вообще отсутствующей.
            А можно ли считать информацию о покупке на амазоне публичной, или нет — отдельный вопрос.
            • 0
              Информация конечно не публичная, но и ценность ее никакая. Сколько этот хакер потратил времени до пункта «Амазон» в этой истории? Читается сейчас легко, но реально требовало раздумий и гуглений. Ну скажем 2-3 часа, думаю больше, не принципиально. Цена? Ну давай опять допустим — $50. Хочешь, дам вход в свой аккаунт на Амазоне и попробуй с этими данными срубить $50. :)
              • 0
                Человек, прочитавший эту статью, для довольно большого количества людей получит эту информацию за пару минут на человека. И я вполне могу представить ситуацию, когда человек не хочет публично светить свой список покупок.

                Каждый человек имеет право сам распоряжаться своими данными. Хотите публиковать свою историю покупок или трансляцию с веб-камеры из своей спальни — публикуйте. Я не хочу, и имею право на то, чтобы эта информация не становилась публичной.
                • –1
                  Ну не за пару минут, но хоть бы и за пару — дальше что, «где деньги, Зин»? Даже пара минут стоят денег! Я прекрасно понимаю что каждому нравиться мнить себя пупом земли ;) и считать что список его покупок бесценен!!! А уж камера в доме! *параноиков толпами увозят с инфарктом* :) Мы здесь не про хотелки/нехотелки — все это мещанские предрассудки, мы про бизнес — как хакеру заработать реальный грош, а бизнесу его не потерять?
                  • +1
                    Меня не интересует, кто на чем заработает. Меня интересует, чтобы сайт, которому я сообщил информацию, которую я считаю приватной и который обязался ее не разглашать — ее не разглашал.
                    Если бы амазон предупреждал «любой желающий может за пару минут получить доступ к вашему аккаунту, потому что по нашему мнению он всё равно никому не нужен» — у меня бы к нему претензий не было, я бы просто им не пользовался. Если это предрассудки — я на них имею полное право. Я совершенно не понимаю, на каком основании Вы, амазон или генеральная ассамблея ООН может решать, можно ли внезапно опубликовать мой список покупок, или нельзя.
                    • –1
                      ок, весьма понятно. Но мы же не в сказке живем? На амазоне наверно нравится покупать? Дешево там все? ;) А защиту построить денег стоит. А кто за все в конечном итоге платит? ;) Правильно! Боюсь нам придется смеяться над оплаченными микросекундами американского программиста, но раз ты так высоко ценишь свою приватность, то честно скажи сколько ты лично готов заплатить чтобы публичный список покупок стал непубличным/защищенным/очень защищенным. Можно в процентах и помножь на свой годовой бюджет онлайн покупок, черт с ним допустим для начала что он весь в одном амазоне. Если тебе уже стыдно или смешно — можно не отвечать. :)
                      • 0
                        Я не требую, чтобы проект предлагал условия, которые мне нравятся. Я требую, чтобы проект соблюдал условия, которые предлагает. Если амазон хочет предоставлять всем желающим доступ к моему аккаунту — пусть он об этом предупреждает на этапе регистрации, чтобы я мог решить, хочу ли я им пользоваться на таких условиях.
                        • –1
                          Амазон — не хочет, где написано иное? И он сделал достаточную защиту. Как мы все видим, он работает годы и никаких массовых взломов не происходит. А ты чересчур драматизируешь ситуацию и позволяешь бросаться фразами «Меня не интересует» — типа пусть весь мир расшибется в лепешку, но чтобы все было согласно моим гипертрофированным ощущениям! А цифры я тем не менее не увидел. ;) Т.е. за реальную оценку «секретов» или смешно или стыдно. :)

                          P.S. Ох, блин, мне тут друг подсказывает что серьезно оторвались на моей карме. Спасибо вам, хомячки-параноики. :) На что готовы люди ради списка покупок! Камедь.
                          • 0
                            Ок, неудачно выразился. «Амазон хочет предоставлять» следует читать как «амазон предоставляет».
                            Я не требую, чтобы кто-то брал на себя обязательства делать так, как мне нравится. Я требую лишь выполнения взятых на себя обязательств.

                            Хорошо, я готов платить лишний 1% от суммы покупок на амазоне, чтобы доступ к моему аккаунту можно было получить, только зная пароль или имея доступ к мылу. Не понимаю, зачем Вам эта информация, ну да ладно.
                            • 0
                              *Господи, какой я идиот. :( Я полдня тут распинаюсь о том, что ничего не имеет значения кроме этой самой информации о деньгах на защиту, а он не понял!* :)
                              Ну так вот если мы возьмем (мне снова придется придумать) годовой бюджет покупок как $1000, то на защиту останется $10 (десять долларов США). Вот это и есть честная цена Ваших секретов, больше платить Вы сами не согласны, т.к. не имеет смысла. Честно говоря в этом месте полностью поддерживаю — я оцениваю свои секреты о покупках ровно в эту сумму.
                              Какую защиту можно построить на эту сумму — даже обсуждать неинтересно.
                              • 0
                                Только стоимость организации нормальной секьюрности практически не зависит от количества пользователей. Доход амазона за 2011 год >600 кк долларов. Один процент от этого — 6кк. Думаю, на эти деньги можно придумать систему, не позволяющую любому желающему получить доступ к любому аккаунту.
                                • 0
                                  Неправильно считаете, но тут можно долго упорствовать, я лишь хотел показать что реальная цена секретов — $10, а претензий ну не меньше чем на миллион. ;)
                                  • 0
                                    Хм, т.е. разработка хоть чуть-чуть менее идиотской системы безопасности стоит больше 6 млн. долларов? Откуда такие данные?

                                    Когда я арендую за 400 долларов в год сейф в банке, я ожидаю несколько большей секьюрности, чем можно обеспечить чисто исходя из этой суммы. Здесь то же самое.
                                    • 0
                                      Т.е цена секретов — $10, а все остальное неадекватная их оценка. Но это даже нормально, это свойственно людям. Плохо когда они с таким видением лезут оценивать коммерческие системы безопасности. Сорри, устал уже, Вы не хотите меня понять, цепляетесь к словам.
                                      • 0
                                        Вы считаете, что все должны разделять Ваше отношение к приватности. Это не так.
                                        И 1% — это сумма, которую я готов дополнительно платить, чтобы была нормальная авторизация. Если амазону надо больше денег — то пусть об этом скажет. И я буду думать, платить, забить на секьюрность или перестать пользоваться амазоном.
      • +1
        > Так как в случае взлома — поиметь там особенно нечего
        Это в вебмагазине то? Как насчёт купить товаров на 100500 денег? Или это «ничего»?
        Там ведь оригинальная кредитка тоже осталась привязанной.
        • 0
          Ну подумаешь фигня какая :) Или сам зайдешь отменишь когда мыл навалит, а думаю и амазон не дурак — тоже распознает.
          • 0
            «думаю и амазон не дурак»
            После этой статьи я уже так не думаю ((-:
            • 0
              Это просто его в статье так выставили. Можно было бы написать «хакер произвел звонок по телефону купленному без паспорта и таким образом его невозможно установить». И всем сразу понятно где надо гайки закрутить.
    • 0
      То ли дело paypal, а? Привязываем карту два дня еще и с подтверждением от банка (номер операции)
  • +12
    Шикарно, с амазоном вообще великолепно вышло :) Только вот зачем было все удалять на эплоустройсвах? Чисто из вредности?
    • +8
      как это обычно и бывает, — «Потому что мог»
      • +66
        По-моему, потому что пи%$%ас.
        • 0
          может, он хотел как бы подтолкнуть свою жертву к тому, чтобы продать все свои яблодевайсы (там всё равно ничего не осталось) и купить что-нибудь самсунговое?
    • +4
      я вот, честно говоря, тоже этого не понял — всё остальное можно было бы даже простить, но вот вайп устройств мне не понятен и отдаёт каким-то безумством
      • +5
        Синдром Герострата.
        Распирает ч(м)удака от собственного «величия»…
      • +1
        Может быть, личная неприязнь.
        • +1
          за то что у Мэта был трехбуквенный Twitter, а у злоумышленника нет…
          ну хотел ты этот твиттер, получил — зачем человеку жизнь-то окончательно портить удаляя документы и фотографии

          побеждать надо тоже уметь — я вот думаю, если бы он не удалил личные данные его поступком скорее бы восхищались (потому что сделано реально красиво) и ругали Amazon\Apple — а так они все выглядят одинаково плохо
          • 0
            К тому же, твиттер всё равно вернут Мэту.
            • 0
              ну да — получается что чувак просто удалил важную для этого человека информацию, испортил ему жизнь — и всё ради чего? только ради того, чтобы все вокруг усомнились в традиционности его сексуальной ориентации да ещё и уголовное дело небось заведут ;)
    • 0
      Знающие люди может подскажут — при удалении данных нет возможности настроить подтверждение по СМС? Иначе завладев данными к учетной записи на me.com можно так просто очищать устройства невинных жертв.
      • +1
        Вряд ли, ведь оно изначально предназначено для случая, когда злоумышленник завладел телефоном.
        • 0
          И что? Кейс: мак бук, айпад, старая нокия для подтверждений по смс
          • 0
            Согласен, как-то сразу не подумал. Было бы не плохо.
    • 0
      У меня было так же, подобрали пароль от appleID и единственное что смогли сделать, сделали: вайпнули телефон, хорошо телефон почти каждую ночь пока в розетке бэкапится на сервак аппла и потерь не было почти
    • 0
      Мошенник говорит, что это его партнер.
      Тот, который фишку с амазоном провернул.
      www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
    • 0
      Потому что ему нужен был аккаунт без чужих следов на нем.
  • +3
    Мне кажется или жертве еще повезло?..
  • +30
    После таких случаев порой перестаешь удивляться, почему Webmoney просит скан паспорта для восстановления доступа к кошельку :)
    • +6
      Ага. Было одно время, когда в магазин нельзя было сходить, не предоставив администрации скана паспорта.
      Осталось сейчас всем сервисам затребовать сканы — и они будут такой же доступной информацией как email. Я не наезжаю на Webmoney, но ведь явно — сканы паспорта по каждому чиху это не выход, а костыль.
      • +4
        Тем более скан паспорта делается за 30 минут на любого человека.
        • 0
          Хм, и как вы его сделаете? Если в вебманях есть персональный аттестат, то у них есть вся паспортная инфа, так что сделать паспорт в фотошопе с левыми данными не сильно поможет.
          • 0
            Лично не проверял, но думаю они могут и не посмотреть на разность в фотографиях. Тем более можно сказать, что паспорт был утерен и ты его поменял, а если жертву знаешь, то его фотку достать не проблема.
            • 0
              Думаю в таком случае фокус тоже не прокатит, webmoney врятли примут только фотку. Я когда персональный аттестат получал ходил к местному регистратору, и показывал «живой» паспорт.
    • 0
      …который хранится на жёстком диске чуть ли не каждого ксерокса, которым вы пользовались.
      • +1
        Забыл приложить ссылку: habrahabr.ru/post/93941/
      • 0
        Конечно же стоит добавить — из тех ксероксов которые не только цифровые, но и имеют внутри жесткий диск и не шифруют на нем данные.
  • +16
    А амазон просто не мог предложить ему войти в аккаунт и добавить карту? Что за бред? Самая главная ошибка. Чего там мелочиться, надо было сразу просить добавить e-mail или сменить пароль.
    • +7
      Дело в том, что в штатах привыкли всё делать по телефону. Это как будто лишний раз удостоверяет личность. Там даже покупки по телефону с кредиткой до сих пор популярны. То есть приходит человек на сайт — видит онлайн форму для покупки и разные способы (в том числе по телефону) и он выбирает по телефону вместо того, чтобы ввести все данные прямо на сайте и не париться со звонками.
      • –1
        ну а в амазоне должен остаться телефон того, кто звонил и так же можно попробовать найти этого злоумышленника (согласен что он мог звонить не с своего номера или с автомата, но попробовать стоит!)
      • +1
        По телефону иногда и у нас удобно покупать и интернет-магазина: не заставляют давать свой email.
      • +3
        Да что там США. Я в Беларуси постоянно покупаю в инет-магазнах по телефону. Потому что заявку оставиш, и жди-гадай, перезвонят когда и перевонят ли вообще. А тут позвонил, обсудил все моменты — уже хоть какая-то определенность с заказом появляется.
        • +2
          но данные карты-то вы при этом не диктуете, а платите наличными курьеру?
        • +1
          а интернет ли магазины это? :))
  • +22
    Чтобы проверить, что злоумышленник действительно владелец аккаунта, Амазон спросил адрес, имя и email


    И всё? Круто.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Можно же придумать много иных средств. Да хотя бы попросить сделать тестовую транзакцию с карточки на мизерную сумму в 1$, который потом вернуть. Кто-то помнится так делает при регистрации, то ли PayPal, то ли Google-вская платежная система.
        • –1
          Подобная проверка происходит на сайте Moneybookers.
        • +1
          Это не поможет. Вместо совсем фейковой карточки нет проблемы завести виртуальную.
      • –1
        Ну там как минимум должна быть уже имевшаяся кредитка, почему было не спросить последние 4 цифры ее номера перед добавлением новой?
        • +1
          Не актуально — не все помнять последние 4 цифры старых/утерянных кредиток
    • 0
      Мой банк спрашивает имя и дату рождения. /facepalm
      • 0
        Вроде каждый банк при выдачи карты вносит кодовое слово, вроде пароля, для обращения по телефону.
        Слово знает только клиент и банк. Почему его не спрашивают в дополнение к дате рождения и имени?
        • 0
          Имя и дату спрашивают если не знаешь кодового слова (цифр). В некоторых банках с этим лучше, в некоторых хуже.
  • +20
    Проблема — исключительно в существовании оффлайновых способов «восстановления» пароля, которые вечно полагаются на какие-то левые, значительно менее секретные, чем пароль, данные — id, номера договоров, 4 цифры номера кредитной карты и т.п.
  • 0
    Раз, два. Стоит 5 долларов в месяц или 50 в год за аккаунт.

    Правда, все это не поможет в случае, если регистратор домена даст доступ к панели управления доменом на основании общедоступных данных.

    Поэтому необходимо искать узкие места и укреплять их.
  • –6
    И я не понял, как через .me аккаунт он восстановил пароль от gmail.
    • +3
      Он висел как запасной для gmail для восстановления пароля, о чём сам gmail и сообщил. Читайте внимательнее.
  • –1
    Не красиво, а заслуженно.
    Нельзя переносить всю свою реальную жизнь в виртуальность. Вот такое: «Среди прочего он потерял все фотографии своей дочки с ее рождения, многие документы и большую часть переписки» у меня в принципе невозможно, т.к. фото и доки у меня в отдельных папочках (никак не свзяанных с системными кстати), а вся переписка в TheBat, к тому же, который еще и архивируется сам.
    Нельзя региться во всем интернете под одним-единственным ником и мылом. И нефиг светить свое персональное мыло на сайтах — пусть даже личных. На сайтах вполне можно оставлять какой-нибудь адрес, с которого потом просто редирект пробрасывается на персональный адрес.
    А если денег дело касается, то у меня вообще все отдельное, которое никак с другим не пересекается!

    Буду эту заметку показывать тем, кто раньше меня подкалывал в параноидальности)
    • +5
      Вы — таки параноик
      Мораль басни — не использовать Amazon.
      • +3
        Apple тоже отличились.
        • +1
          Таки да, но кредитка всё-таки это не тоже самое, что email и адрес. А номер кредитки (последние 4 цифры) угадайте откуда он взял…
          • +1
            Ещё цифры можно получить с чеков в ресторанах и банкоматах :)
            Но нужно знать жертву и места её обитания.
            • 0
              Нужно устроиться на работу в ресторан, и отказа в потенциальных жертвах не будет.
              Меня всегда очень радовало, что в наших кафе-ресторанах часто нужно отдавать карту официанту, который идет с ней неизвестно куда и проводит там по полчаса времени. Откатать за это время дубликат карты (если она без чипа) — нефиг делать.
              • 0
                Ага. А в случае кражи денег, СБ банка обвинит вас в несоблюдении правил пользовании по части «всегда держать карту в поле зрения».
                • 0
                  Неправильный банк:) К последней мной полученной карточке по дефолту прилагается страховка от потери/кражи карточки и от ограбления (т.е. если меня, угрожая пистолетом, заставят отдать карточку и сказать PIN — то деньги вернут).
                  • +3
                    Страховка, ну-ну, там наверное еще целый список обязательных пунктов мелким шрифтом, типа «убедились ли вы что у преступника в пистолете заряжены боевые патроны?».

          • 0
            Чего гадать, я статью читал.
            А последние 4 цифры далеко не конф. информация, как отметили выше их на чеках всегда печатают. Задача усложняется до проехать по уже известному адресу и выудить подобный чек под любым предлогом.
          • +2
            если вы продаете что-либо через ecommerce provider'ов — типа plimus.com shareit.com payproglobal.com — то в отчетах по продажам вы увидите последние 4 цифры карты каждого купившего (а также его ФИО, адрес и телефон).
      • +3
        Не, это еще не парноидальность. Просто такая организация работы.
        Параноидальность — это когда любой (!) шаг советуют делать через анонимный прокси, отдельное мыло и т.д. Это уже как-то… через край совсем уж…

        Но, если считать, что я не выкладываю никакие свои фотки в инете нигде, за параноидальность, то тогда да, получается я абсолютно ненормальный)
        • 0
          Не одни вы, сударь)
          Делаю практически так же уже давно, ну… может быть, чуточку параноидальнее)
          И считаю, кстати, на сегодняшний день такое поведение вполне резонным.

          Однако Мэта винить не хочу, напротив, жаль, что рядом не было человека, способного показать ему пару-тройку простых вещей, несколько осложняющих процесс доступа из вне.
    • +2
      А домашний клауд бэкапится на внешний хостинг, пожаростоек и тп?
      • +2
        Наверное высекается в камне каждые десять лет :)
        • 0
          В пещере + естественная краска, на всякий случай дополнительная информация для восстановления в виде зарисовок…

          Прошу прощения, что не ссылкой и изображением:
          ic.pics.livejournal.com/zhezhera/8113156/487869/320.jpg
          • 0
            древние знали толк в бэкапах )
            • 0
              мало кто сообщает, что немалая часть рисунков была сделана, как бы это выразиться, пальцем, обмакнутым в продукты человеческой жизнедеятельности).
        • 0
          в двоичном коде)
      • 0
        Харда достаточно. Мне не влом пару раз в году потратить пару часов на бэкап.
    • +7
      Дайте угадаю: и паспортов у вас пять, как у Джейсона Борна, чтобы основной не светить?
      • 0
        После прочтения приложения к новому договору от Yota (для LTE): абзаца где «персональные данные могут быть переданы третьим лицам» было бы неплохо.
      • 0
        Вы так говорите, как-будто это что-то нереальное. У меня 4 паспорта, полученных вполне легальным путем. Все на одно и то же имя, хотя и во всех четырех фамилия написана слегка по-разному. И у меня как минимум 10 знакомых с 4мя паспортами, полученными таким же легальным способом.
        • 0
          Обычный и загран — понятно. А остальные? дубликаты утеряных первых двух?
          • +1
            Несколько загранов (неистекших, но страницы забиты визами и штампами) + смена правил транслитерации. Можно вычислить, что Graphite из Украины, не заходя в профиль :)
            • 0
              Ага, я тоже догадался :)

              Но в глубине души надеялся, что речь идет о чем-то не столь очевидном. Типа паспорт моряка или что-то вроде
              • +1
                Я знаю мужичка с пятью гражданствами. Соответственно, паспортов у него много. Страна рождения, израильтянин впоследствии, десять лет жил в Америке, третье поколение — из Германии. Не помню, откуда пятое пришло, кажется, тоже наследство, от второго дедушки, что ли.
            • 0
              Украинский загран ровно один, без единого штампа, т.к. не пользуюсь :) А я вообще много откуда, в профиле страну рождения указал, т.к. менять надоело постоянно.
          • 0
            Два гражданства — по два заграна и два гражданских паспорта. Написание фамилии отличается в гражданских паспортах разных стран (ну фамилия такая). Транслитерация в загранах тоже отличается. В правах вообще третий вариант употребляется.
        • 0
          Буква «ё»?
          • +1
            1) буква «я» как ia или ya (то же самое с «е», «ю» и украинской «ї»)
            2) окончание «-ий», которое в украинском часто звучит как «-ый», — как ii, iy, yi или даже yy
            3) перевод имен с русского (Vladimir — Volodymyr и т. д.)
          • 0
            Фамилия с апострофом и как минимум три варианта транслитерации в разных документах. Вообще я знаю еще и четвертый, но его пока ни в одном документе нет.
    • 0
      Зря вы так всех под одну гребенку.

      Справедливости ради, вы тоже не защищены от потери своих данных.
      Жесткие диски вещь хрупкая. Особенно если в доме дети. Ну и грабителей тоже вещь не настолько редкая, как того хотелось бы.

      Я в свое время много делал бекапов на СД-Р болванки. Столько времени в пустую потратил, и часть фотографий потерял.
      • –2
        Я не параноик, но в моих силах отсечь такие штуки как:
        — случайное стирание данных;
        — «плохой» выход из строя БП (это когда он все за собой утягивает);
        — сдох жесткий диск и/или рейд-контроллер (да, да — данные у меня на рейде);
        — домашние уронили шкаф на компьютер;
        — интернет недоступен по разным причинам длительное время (нет доступа к облаку).

        Причем все эти проблемы убираются без передачи данных кому-то третьему лицу на сохранение!

        Жесткие диски вещь действительно хрупкая, поэтому существует табу: ящик с хардами под ключем и никто не имеет права даже КАСАТЬСЯ резервных хардов. Сделайте мощное внушение и всем станет понятно сразу с первого раза. Ящик трогать тоже нельзя без моего предварительного уведомления, т.к. если навернутся все 8 терабайт, то я буду сильно сердиться…

        Вот есть только одна фигня — резервный хард можно самому уронить. Но есть фишка — я не пью )))))))))))))
        • 0
          Вот вам еще пара рисков на проработку — пожар (все диски вместе сгорели), кража, затопление (пожарные тушили соседей), землетрясение (конечно после этого сначала будет не до данных, но потом-то все равно захочется их вернуть).
          • 0
            Это типа я еще и параноков по мнению сообщества? )))
            Вы бы еще предложили от риск от близкого ядерного взрыва!
            • 0
              А что? Тоже вполне себе риск, только с малой вероятностью. Вообще война, гражданские волнения и тд вполне себе риски с не нулевой вероятностью.
    • +2
      Таки прямо заслуженно?
      Какие именно действия жертвы дали вам понять, что он заслужил эти проблемы?
      • –1
        Цитирую сам себя: «А если денег дело касается, то у меня вообще все отдельное, которое никак с другим не пересекается»! Заслуженно — от слова заслужил.

        Просто так или иначе все мы периодически получаем пинок по жизни. Одни — раньше, другие — позже. Тут главное — сделать правильные выводы: если не думаешь заранее сам, то думает заранее кто-то за тебя. И я когда-то огребал, но, вследствии младого возраста, последствия были малозначительны. Я только выводы сделал, о чем ни разу не жалел)
        • +1
          Вы так и не написали, чем он заслужил это.

          Если у вас близкий человек в аварию попадет — вы ему тоже скажете, что заслужил?
          • 0
            Сначала я ему помогу.
            А если потом выяснится, что он, например, провафлил очередное ТО, то ему попадет. Ибо заслужил — за машиной надо следить, а не спихивать все на «я блондинко», «я не понимаю». А если не понимаешь — учись, тем более если есть кого подергать и натаскаться на элементарные вещи.

            Естественно, что в жизни разные случаи бывают. Я не всегда ж так поголовно. Вот тут (см. видео — не для обсуждения, а только для примера), например, что сделаешь?
          • 0
            Заслужил тем, что нельзя пересекать свои личные контакты с финансовыми. По возможности надо разносить.
            Неужели непонятно? Я не считал это какой-то загадочной мудростью.
  • +38
    «ребята из Wired за несколько минут смогли целиком повторить весь фокус дважды — от адреса и имени до доступа к Amazon и Apple аккаунтам со всеми вытекающими последствиями»

    то есть они ещё два раза вайпнули iPhone, iPad и MacBook Мэта.
    • +19
      Мэт возмущен.
      • +3
        а когда он успел между итерациями ещё раз нафоткать свою дочь со дня рождения?
  • +12
    Облажались и Apple и Amazon что тут скажешь.
  • +28
    вспоминается Баш.

    "
    ппц в дата-центре безопасность
    звоню и говорю «здравствуйте, ребутните пожалуйста наш сервере. сервер такой-то»
    идут и ребутают
    кто я, от кого я — всем пофиг
    * coredump борется с искушением попросить ребутнуть еще один
    "
    • +1
      Кстати, это очень распространенный косяк — во всех трех ДЦ где я обслуживался можно было так сделать. Иногда чуть сложнее, иногда чуть проще, но в целом несложно, если четко знать что ребутаешь.
    • +3
      Да, потому что этого достаточно и проблем не создает, а то если посмотреть с другой стороны все можно довести до маразма в известном рассказе про хакера и соль в столовой. :)
  • +3
    Зашел в аккаунт Амазона и почистил там всю информацию на всякий случай :)
    • +16
      … и своих друзей :)
    • 0
      Зашел в гугл и настроил двухстороннюю авторизацию с той же целью.
  • –8
    У моего друга из Питера похожим образом угнали аккаунты от почты, скайпа, ласт.фм, вконтакта и ещё кучи сайтов. Сам взломщик спалился через ICQ. Мы смогли найти как минимум город и улицу, где он живёт. Это оказалось где-то в Дагестане. Умело воспользовавшись НЛП мы запугали его и он вернул все аккаунты. Мораль такова: используйте разные пароли на разных аккаунтах и не регистрируйте всё на один ящик. Вот такая история.
    • +1
      Похожим образом — через карту, привязанную к Амазону?
    • –1
      НЛП? По аське? Ойбля…
      • 0
        Да нормально, учитывая что НЛП это в целом псевдонаучная хрень, то разницы по аське или нет — никакой.
        • 0
          НЛП — это набор шаблонов действий, делая которые с человеком, обычно получаешь один и тот же результат. Никто на науку и не претендует.
          • 0
            Делая которые с любым человеком обычно получаешь тот же результат? Над одним человеком в разном состоянии тоже? А если будут делать разные люди, результат будет тот же или другой?
            • 0
              >Делая которые с любым человеком обычно получаешь тот же результат?
              Не с любым

              >Над одним человеком в разном состоянии тоже?
              Для этого вводят в нужно состояние

              >А если будут делать разные люди, результат будет тот же или другой?
              Если разные, владеющие техникой и имеющие опыт, то +- тот же. Если прочитали в книжке, как что-то делать и пытаются сделать, то не факт, что вообще будет результат.
      • +1
        Да хоть по телеграфу. Даже то, что на рекламе прохладительных напитков (кока-колы и тд) девушка пьет и бутылка находится в правом верхнем углу, адепты НЛП будут говорить, что это НЛП-прием.

        Или те же книги «как бросить курить» Алана Кара и т.д. — все пытаются использовать некоторые приемы, которые НЛПеры будут называть нлп-приемами.

        Впрочем те, кто проповедуют гештальт-терапию, могут говорить то же самое:)
    • 0
      Мы смогли найти как минимум город и улицу, где он живёт

      по IP?
  • 0
    Какое-то нелепо стечение обстоятельств и дырок в безопасности.
    • 0
      Причем не закрытое. Т.е., это можно повторить в вариациях ещё не раз. В частности:

      1) добавить в амазон несуществующую карту в чужой аккаунт
      2) восстановить аккаунт по несуществующей карте

      и вуаля.
  • +9
    Спасибо тебе гугл, что в тебя нельзя вот так вот позвонить и попросить восстановить пароль по всяким левым данным. Пойду ка я, кстати, настрою двухфакторную авторизацию наконец.
  • 0
    Помня, какой баттхёрт я получил, когда взломали мой gmail-аккаунт, настроил первым делом двухфакторную авторизацию, когда она стала доступна.
  • +2
    Итого морали сей басни:

    1) Amazon — решето. Вполне очевидна дырка в системе восстановления доступа.

    2) Главная проблема как обычно человеческого фактора. Сотрудник Apple дал злоумышленнику временный пароль невзирая на то, что тот не смог ответить на секретные вопросы. Это прямо написано в статье:
    In response, Apple issued a temporary password. It did this despite the caller’s inability to answer security questions I had set up.
    То есть мало того, что надо собрать куски персональной информации, так для подтверждения личности надо ещё ответить на секретные вопросы, которые ты сам и ставил и ответы на которые не публикуются в соцсетях, если только не мозг рака. Логично, что после этого ты получаешь доступ ко всему.
    То, что сотрудник Apple этого не сделал ставит Apple в невыгодное положение. Я бы сказал что компани теперь отвалит дядечке нормально денег за такое.
  • +29
    это правильно, поклонники продуктов эппл должны страдать
    • 0
      Вы экстремист.
    • –12
      ну да, пользователи зеленых мусорных ведер-то страдают перманентно, поэтому и iOSникам того же желают.
    • +1
      Я знал, что рано или поздно этот комментарий появится :)
      +1
    • +5
      Зачем вы так — у них уже есть iTunes :)
  • +3
    Вся схема накрылась бы, если бы не было «запасного» емеила.
    Записывайте пароли в соответствующие программы, и не понадобится оставлять такие дырки.
    • +2
      Желательно хранить все пароли на iphone в заметках!
      • 0
        (устало грозит пальцем)
  • –12
    image
  • +8
    Ребят, кто знает почту Цукерберга?
    • +2
      zuck@facebook.com
  • +6
    Год назад по просьбе человека, далёкого от Интернета, полез в веб-панель управления домашним телефоном. Как в таких случаях часто бывает, логин и пароль были записаны на бумажке. Тем не менее, система отказывалась меня пускать. Решил позвонить в службу поддержки – со своего мобильного, который к фиксированному никакого отношения не имеет. Попытка не пытка всё-таки :) Первое, что шокировало – мне назвали логин, спросив только имя и номер телефона, т.е. данные из телефонной книги. Второе – когда пароль с бумажки не подошёл, его охотно сменили. Таким образом, располагая только общедоступной информацией о человеке, оказалось возможным посмотреть все его договора с телефонной компанией и списки разговоров, заказать дополнительные услуги и т.д. Жалею, что тогда не написал им об этой уязвимости.
    • 0
      В каком городе? В Риге?
      • 0
        Да. Собираетесь кого-то взламывать? ;)
        • +1
          Похоже, ребята из Wired своей историей помогут вскрыть «халатные уязвимости» компаний по всему миру. Вот только бы «без жертв» обошлось…
          • +5
            В книге Митника полно таких историй, а вышла она ещё в 2002-ом. Я бы не обольщался по этому поводу.
    • +1
      У нас (Питер) до сих пор так. Звоним интернет-провайдеру, говорим номер договора/ip-адрес/домашний телефон и спрашивают на кого оформлен договор. И дальше они всё рассказывают.
      • 0
        номер договора/ip-адрес/домашний
        И или ИЛИ?
        • 0
          Или. Один из вариантов.
          • 0
            Тогда печаль.
    • 0
      Мне провайдер перезвонил на номер, указанный в договоре, и тогда саказал пароль.
      Мелкий провайдер в Московской области.
      П
      Вроде достаточно неплохой подход, мне кажется везде так или скоро будет.
  • +1
    Я не понял. По whois получили адрес, имя и e-mail. И рассказали это в Amazon? И прокатило?
    • 0
      Этого хватило чтобы добавить ещё одну карту к аккаунту. А затем уже отдельным звонок и для доказательства владения аккаунтом был назван этот номер.
      • +1
        Глупо, мне кажется, спрашивать для авторизации информацию, которая выдаётся whois.
        • +1
          Ну, собственно, именно об этом топик и комментарии выше.
  • 0
    А что за двухступенчатая авторизация и где ее включить?
    • +2
      Это когда каждое потенциально небезопасное действие требует введения кода подтверждения в СМС. Есть в большинстве уважающих безопасность клиентов сервисов.
      • +1
        Можно не смс, а цифровой пароль с виртуального токена в телефоне.
        • 0
          Такое я видел только у Blizzard, но мой внутренний параноик побоялся потерять этот токен и я ограничился СМС.
          • +1
            У Гугла токен виртуальный — аппликация на телефоне (см. картинку). У Близзард есть виртуальный токен и реальный, в виде брелка.

            semanticseed.com/blog/wp-content/uploads/2011/02/yahoo_logo2.jpg
            • +1
              Странно, только что залез в настройки аккаунта и обнаружил, что двухступенчатая авторизация отключена, хотя точно помню что ранее вводил номер телефона. Советую всем еще раз проверить.

              Я считаю смартфон как хранилище необходимой для работы информации слишком легко теряемым. СМС в этом плане удобней, заказал у оператора новую симку и вернул свои аккаунты.

              ЗЫ Порадовал этот пункт у гугла:

              Резервные коды для печати
              Внимание! Если у вас не окажется при себе телефона, то войти в свой аккаунт Google вы сможете только с помощью этих кодов. Храните их под рукой, например в бумажнике.
              • 0
                Однажды столкнулся с тем что нужно войти в аккаунт гугла, чтобы поставить приложение для генерации одноразовых кодов для входа в аккаунт, упс, второй вариант — отправить смской отпадал, так как телефон, который та указан был из другого региона и использовался для переадресации. И естественно печатных кодов не было. Тут то я и запереживал, но оказалось, что у гугла есть отличная возможность — вместо смски гугл может позвонить на этот номер и продиктовать цифры.
      • 0
        Спасибо. Попробую.
        Я сторонник разумного компромисса между паранойей и удобством.
  • 0
    Мдя. Как идиоты вели себя amazon и apple. Особенно amazon — по публичной информации что-то менять в аккаунте… ужасть.
    • 0
      Меня больше всего поразило что в whois данные не скрыты были
      • +1
        В общем-то имя и email, ИМХО, не являются особо секретной информацией. Да и адрес — тоже, для многих людей.
  • +2
    реКламент → реГламент, да?

    Раз фокус удался дважды, то единственным способом заставить Amazon зачесаться было опубликовать статью. Вообще он мне тут видится наиболее уязвимым звеном. Наверное потому что ожидаешь от конторы, оперирующей твоими кредитками, большего. Да и Apple тоже молодцы: «имя, адрес и последние четыре цифры кредитной карты». А если я у коллеги/соседа/товарища подсмотрел номер кредитки?
    • 0
      P.S. [паранойя] По-моему, получилась отличная реклама двухэтапной аутентификации Google. Пошёл подключать… [/паранойя]
      • 0
        В этом случае хватило бы двухэтапного восстановления пароля.
  • +5
    Пожалуйста, добавьте тэг «РЕШЕТО».
  • 0
    Вот интересно, а по судиться с амазоном реально?
    Косяк-то на лицо…
  • +4
    Некоторые ошибки Мэта:

    1. Не было двухуровневой верификации на gmail
    2. Whois давал всю информацию (домашний адрес и email). Как минимум, email при domain registration должен был отличаться от основного (или делать форвардинг на основной), как максимум — делать private registration. В .ru в этом смысле удобно — можно скрыть без проблем всю информацию, но в .com это стоит денег (до 10 долларов в зависимости от регистратора).
    3. Все аккаунты завязаны на основной email (или имеют тот же ник перед @). У меня на ebay, amazon и paypal стоят разные емаилы с моего собственного домена (private registration), которые форвардятся на gmail с двухуровневой верификацией.
    4. Засветил свой основной gmail адрес на своем сайте
    • 0
      Двухуровневая аутентификация запрещает остальные способы восстановления пароля?
      Дополнительные email'ы становятся бесполезны?
      Я слышал другую историю с восстановлением пароля к gmail, суппорт хотел ответа на вопрос «кто вас пригласил в gmail», чего большинство людей не помнит, поскольку инвайты выпрашивались у незнакомых людей в интернетах…
  • 0
    Эх, сволочи. Удалили фотографии, видео дочки… Самая большая потеря. Остальное можно восстановить.
  • 0
    Мораль — не пользоваться сервисами(Amazon?), которые позволяют, зная почтовый адрес, восстановить доступ к аккаунту. Либо уж иметь на нем данные, никак не связанные с остальными сервисами.
  • 0
    Давно на хабре не было статей с 100+ рейтингом, а у этой уже 200 вот-вот. Видимо информационная безопасность и взлом самые актуальные темы для читалей хабра, берем на заметку.
  • 0
    если вы продаете что-либо через ecommerce provider'ов — типа plimus.com shareit.com payproglobal.com — то в отчетах по продажам вы увидите последние 4 цифры карты каждого купившего (а также его ФИО, адрес и телефон). Уж на plimus.com точно.

    Чую скоро появится спрос на базы типа «ФИО, адрес, телефон и 4 последние цифры карты» — вот для таких дел.
  • 0
    А как же данные паспорта и девичья фамилия матери?)
  • 0
    А «умельца» то нашли?!
  • +1
    Социальная инженерия… Социальная инженерия никогда не меняется.
  • +1
    Ещё более интересный способ использования уязвимости:
    1. Получаем пароль от AppleID
    2. Восстанавливаем свой айфон\айпад из бэкапа этого AppleID
    3. Получаем доступ ко всей истории смс, ко всем приватным фотографиям и рабочим документам.

    Дополнительный бонус — через in-app purchases сливаем весь баланс кредитки, привязанной к AppleID, на заранее сделанное приложение.
    • +1
      С дополнительным бонусом — торжественно садимся в тюрьму (ибо куда пошли деньги разработчику уж как-нибудь найдут). Но так да, идея интересная.
    • 0
      Думаю эппл сможет отледить что было на вашем айфоне\ипаде до этого действия.
    • 0
      Apple при вводе вашего AppleId с нового устройства присылает об этом письмо
  • +1
    У меня тут на днях в офисе один коллега забыл пароль от ноутбука. А на каждом ноутбуке в нашей компании есть сервисная запись с локальными админскими правами. Я для прикола позвонил в техподдержку и — вуаля, по фамилии сотрудника мне продиктовали пароль к этой учётке! Я минут 5 не мог поверить, что у нас есть такая ДЫРИЩА в безопасности.
  • 0
    Классный пиар двухфакторной авторизации гугла =)
    • 0
      Т.е. тот факт то теперь вместо одного пароля их будет куча — никого не волнует?

      Я про Application-Specific Passwords без которых сложно пользоваться сервисами Google.
      • 0
        Тут два варианта, либо делать вести себя секьюрно когда перевязываешь аккаунты и создаешь логины, либо использовать кучу паролей с использованием SMS и прочих альтернативных каналов.
  • –1
    Облака — зло.
    • 0
      Зло + добров = 0.
      Облака — зло = Облака — добро.
      • 0
        «Зло + Добро = 0», значит, «Зло = — Добро»

        Отсюда, «Облака — Зло = Облака + Добро», разве нет?
        • 0
          Облака == зло
          зло == -добро
          облака == -добро
          облака + добро == 0, я бы даже сказал == /0
        • 0
          Вообще-то так и задумывалось!
          Е-мое… минус скопипастился… {сконфужен}
    • 0
      Е-мой. С прредыдущий комментом — фальстарт.

      Зло + добро = 0.
      Облака — зло = Облака — добро.
  • +7
    Вот такое вот хочется видеть в фильмах про хакеров, а не типичный стереотипный бред…
  • 0
    Меня всегда поражало когда банки, мобильные операторы и прочие для подтверждения спрашивают имя, дату рождения и максимум адрес (по крайней мере на западе в основном так). Хотя вся эта информация впринципе публична, т.к. доступна всем вашим друзьям, знакомым, родственникам, а через них и всему миру так или иначе.
    • 0
      Не знаю, ребят… Меня удивляет, что ни на одном из этапов не фигурирует какое-нибудь кодовое слово или «ответ на секретный вопрос». А между тем такие штуки, по-моему, практически везде запрашиваются — при той же регистрации почтового ящика, например. Вот, недавно новый ящик на Яндексе заводил — точно было… И в банке, когда с колл-центром общаешься, запрашивают кодовое слово — в Альфе точно, в Сбере… Про другие не знаю, не пользовался.

      Выходит, все-таки не везде эти кодовые слова используют? Причем лопушат такие солидные конторы как Амазон? Действительно, страна непуганных идиотов…
      • 0
        А вы попробуйте «не знать» кодовое слово. У большинства компаний в таких случаях как раз очень простая процедура верификации от которой можно и поседеть.
        • 0
          Наверное, да, просто не сталкивался. Последний раз, когда забыл кодовое слово в Альфе, просто не смог через колл-центр нужный вопрос выяснить, пришлось переться лично в отделение. Отказались общаться без кодового слова, и все.
      • 0
        Маме блокировал потерянную карточку Сбера по телефону. Сразу об'яснил кто я и что хочу, она сама не могла позвонить — лежала в больнице. У меня спросили ворох информации: адрес, дата рождения, номер паспорта, что-то ещё. И в итоге заблокировали, но предупредили что необходимо в трёхдневный срок в отделении заявление написать (не знаю что было б если б не писали). Правда было это лет 8 назад.
  • 0
    … и столько человек добавили пост в избранное…
  • 0
    отличный пример синергии Apple и Amazon.
  • 0
    Бывает так напрягалает эта двухэтапная аутентификация, но без нее нынче никак!!!
  • 0
    Это фигня. Несколько лет назад читал баг в сервисном центре не то московского лексуса не то порше. Там можно было забрать машину из сервиса просто придя раньше хозяина и оплатив ремонт. Не предъявляя никаких документов. Видимо им в голову не приходило, что кто то может вот так прийти и заплатить за ремонт чужой машины.

    Автор статьи пришел и заплатив несколько тысяч за замену каких то лампочек «угнал» из сервиса машину другана :)
  • 0
    > он больше всего жалеет утеряных фотографиях
    это одна из причин, почему я все фотки храню на внешнем устройстве
  • 0
    Вывод? Как уберечься от развода телефонных служб Amazon и т.п. доброжелателями?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Интересные публикации