Hack account iCloud, Apple e Amazon: stop a reset password via telefono

Lo scorso venerdì 3 agosto, Mat Honan, un giornalista di Wired ed ex dipendente di Gizmondo, ha raccontato la vicenda di come il suo account iCloud sia stato violato provocando la cancellazione in remoto dei dati del suo iPhone, iPad e MacBook Air, più di un anno di foto personali perduti nel nulla. Gli hacker hanno successivamente violato anche il suo account di posta elettronica Gmail e inviato tweet omofobi dall'account di Gizmodo.

"Nello spazio di un'ora, - scrive Homan in un post - tutta la mia vita digitale è stata distrutta. In primo luogo il mio account Google è stato preso, poi cancellato. Dopo il ​​mio account Twitter è stato compromesso ed usato come piattaforma per diffondere messaggi razzisti e omofobi. E peggio di tutto, il mio account AppleID è stato violato, e l'hacker lo ha usato per cancellare da remoto tutti i dati sul mio iPhone, iPad e MacBook".

"Stavo giocando con mia figlia, quando il mio telefono è morto. E poi si è riavviato con la schermata di impostazione. Questo è stato irritante, ma non ero preoccupato. Ho pensato che era un problema tecnico software. E, il mio telefono esegue automaticamente il backup ogni notte. Ho appena pensato che sarebbe stato un dolore, e nulla più. Ho inserito il mio login icloud da ripristinare, e non è stato accettato. Ancora una volta, mi sono irritato, ma non allarmato".

"Sono andato a collegarlo al mio computer e ripristinare dal backup, come avevo fatto appena l'altro giorno. Quando ho aperto il mio computer portatile, è saltato fuori un messaggio di iCal dicendomi che le mie informazioni dell'account Gmail erano sbagliate. Poi lo schermo diventa grigio, e ha chiesto un pin a quattro cifre. A questo punto, sapevo che c'era qualcosa di molto sbagliato. Mi diressi verso il corridoio per afferrare il mio iPad dalla mia borsa da lavoro".

"Era stato resettato. Non potevo accendere il mio computer, il mio iPad o iPhone. Ho usato l'iPhone di mia moglie per chiamare il supporto tecnico di Apple. Mentre ero in attesa, ho preso il suo computer portatile e ho cercato di accedere a Gmail. La mia password era cambiata. Non riuscivo a reimpostare perché il backup era andato su icloud, dove la mia password era stata cambiata".

"Ho controllato Twitter, e vidi che qualcuno aveva appena inviato un tweet da tale account. Ho cercato di accedere a Gmail di nuovo, e ora mi dissero che il mio account Google era stato cancellato. Il supporto tecnico di Apple non ha potuto verificare i miei dati, il mio indirizzo, il numero della mia carta di credito, qualsiasi cosa - come informazioni di supporto". Come scrive Forbes, al momento si ipotizzò che l'hacker avesse utilizzato il metodo di bruteforcing.

Il metodo consiste nello scovare la password tentando più volte, ma si è scoperto che è stata la stessa Apple a dare all'ahacker l'accesso al suo account icloud. "So come è stato fatto ora. Lo ha confermato sia gli hacker e Apple. Non era la password relativa. Hanno ottenuto via supporto tecnico di Apple e alcuni metodi di social engineering intelligente che ha permesso di superare le questioni di sicurezza", ha scritto su Wired il giornalista.

Clan Vv3 and Phobia hacked this twitter
— Is this Mat Honan? (@mat) Agosto 4, 2012

L'attacco è stato messo a segno da un hacker che si fa chiamare Phobia, che dopo la compromissione ha contattato Honan per spiegare il metodo con cui ha compiuto il misfatto. In una serie di mosse sorprendentemente semplici l'hacker, dopo aver ottenuto l'indirizzo di posta elettronica di Apple his@me.com, sono entrati nell'account Gmail e Amazon del giornalista e inserendo una nuova carta di credito falsa, sono riusciti a individuare gli ultimi 4 numeri della carta di credito reale dell'utente.

Il nome dell'account e le ultime 4 cifre della carta di credito sono bastati per far credere al servizio clienti Apple che l'hacker fosse il vero titolare dell'account, rilasciando una password per l'accesso a iCloud. La violazione Gizmodo, apparentemente è stata perpetrata da una persona o un gruppo di persone che si fanno chiamare Clan W3, è stata breve ma ha determinato tweet razzisti e offensivi che sono stati inviati Venerdì scorso a 415.000 seguaci del blog di tecnologia.

"Gizmodo inizialmente aveva accusato il suo ex reporter per i tweet e rapidamente ripreso il controllo del suo account", scrive CNet. Il tecnico di Apple è stato vittima di social engineering, una tecnica per manipolare le persone invece dei computer per svolgere un compito o per divulgare informazioni. Apple e Amazon hanno deciso di bloccare momentaneamente l'assistenza telefonica. "Abbiamo studiato l'exploit segnalato, e possiamo confermare che l'exploit è stato chiuso a partire dal pomeriggio di Lunedì", ha detto un portavoce di Amazon ha detto ieri pomeriggio a PcMagazine.

In questi giorni si è parlato della violazione che ha colpito Dropbox e Matt Cutts, ingegnere software di Google, consiglia a tutti di attivare l'autenticazione a due fattori di Google per rendere il proprio account Gmail più sicuro e meno probabilità di essere violato. Una violazione, naturalmente, non basta a incrinare il sistema del cloud computing, sia di Apple, che di altri provider coinvolti, ma lascia pensare. E' notizia di queste ore che Facebook si prepara ad accogliere i giochi real money. Una vera rivoluzione che potrebbe aumentare i tentativi di violazione degli account Facebook e non solo.

Amico Facebook di chiunque e profilo hackerato con trusted friends

Un ricercatore brasiliano ha dimostrato che è possibile ed anche semplice, diventare "amico" praticamente di chiunque su Facebook in 24 ore o meno. Creare un nuovo profilo clonando il profilo di qualcuno vicino al bersaglio, poi utilizzare il profilo di un amico degli amici del target e alla fine anche lui il bersaglio o se stesso. Anche se l'obiettivo non è accettare di essere amico, sarete ancora in grado di vedere le informazioni disponibili solo per "amici degli amici", probabilmente molto più di quanto sia disponibile pubblicamente. Questo exploit di ingegneria sociale mostra come le informazioni personali siano facilmente accessibili da quegli individui con target specifico e disposti a investire un pò di tempo.

La tecnica è insolita e va completamente contro le condizioni di utilizzo di Facebook, ma questo non ferma chi vuole raggiungere il proprio scopo. Il ricercatore di sicurezza e comportamento online Nelson Neto Novaes ha progettato un esperimento per vedere se poteva avere l'amicizia a una donna che lavora nella sicurezza Web, con l'esperimento che chiama "SecGirl". Il suo obiettivo era quello di essere aggiunto come suo amico entro 24 ore. Lo ha raggiunto in solo 7 ore. Per avvicinarsi a SecGirl, Novaes ha letteralmente clonato il profilo di una persona molto vicino alla donna, il suo manager. Usando questo profilo clonato, ha chiesto l'amicizia di amici di amici del boss. In solo un'ora, sono state accettate 24 su 432 richieste.

La cosa straordinaria è che il 96% delle persone che hanno accettato la richiesta di amicizia avevano già il vero proprietario del profilo nella loro lista di amici. La stessa persona è stata aggiunta alla lista dei loro amici due volte, perché non erano a conoscenza del profilo falso. Nell'ora successiva, il ricercatore ha chiesto l'amicizia degli amici del manager. Da 436 applicazioni, il profilo di falso è stato accettato nuovamente da più di 14 persone, tutti avevano il profilo originale nel proprio elenco dei contatti e hanno aggiunto il clone. In poco più di due ore, il manager ha accettato la richiesta di amicizia del profilo che è stato clonato da Novaes. SecGirl ha aggiunto il profilo clonato del direttore come un amico in ore 7 mezza dall'esperimento.

Can I be your friend? How Amazon, LinkedIn and the "new" Facebook privacy issues can help me become your friend. A Behavioral Psychology and Security view of social networks

View more presentations from Nelson Neto

A quel punto, il profilo aveva accumulato abbastanza amici e amici degli amici che appariva legittimo. SecGirl probabilmente acconsentì alla richiesta di amicizia senza pensare a niente. In questo modo, il profilo clonato ha avuto accesso alle informazioni condivise solo con gli amici di SecGirl. "La gente ha semplicemente ignorato il pericolo nell'aggiungere un contatto senza controllare che sia autentico. Gli utenti devono prestare attenzione a questo tipo di errore. I social network offrono cose incredibili, ma il fallimento, prima di tutto, è umano. La privacy è una questione di responsabilità sociale. Non esiste una soluzione. La soluzione giusta è quella di utilizzare la Rete correttamente e siamo soli in questo compito", ha dichiarato Neto al giornale UOL. Nelson ha detto il suo esperimento fornisce informazioni sufficienti per l'aggressore di prendere realmente l'account Facebook della vittima.

Lo dimostra la potenza dell'ingegneria sociale, che ha come obiettivo una richiesta di amicizia che sembra lecita, ma può provenire da criminali. L'esperimento ha inoltre rivelato che il nuovo ticker ha un grave difetto grave per la privacy su Facebook. Secondo il ricercatore, il recente strumento "Ticker", che visualizza gli aggiornamenti da contatti in tempo reale in alto a destra, mostra ciò che si desidererebbe esporre come prova di infedeltà. E queste informazioni non possono essere escluse. Per dimostrare la sua tesi, Novaes ha creato tre profili fittizi. Due di loro rappresentavano una coppia e il terzo, un amico comune. L'esperimento, riprodotto su video e postato su YouTube, ha dimostrato che la donna nonostante avesse scelto di non mostrare le notifiche di aggiornamento per chiunque, anche il coniuge e l'amico comune avrebbero potuto vederle in tempo reale sul "Ticker".



Nell'esempio, la donna preferisce non mostrare il tizio che ha confermato una richiesta di amicizia dell'ex-fidanzato, ma le informazioni si sono poi rivelate all'amico comune che vede la conferma del "Ticker". Il ricercatore ha contattato gli amministratori del social network, ma non ha ottenuto risposta in ordine al funzionamento del "Ticker". Neto ha detto, inoltre, che è possibile prendere un account valido di Facebook tramite la funzione di recupero password Facebook "Tre amici fidati". Attraverso lo strumento di recupero della password, un hacker può cambiare sia la password che il contatto e-mail per un account. Basta creare 3 falsi profili aggiunti alle amicizie all'account delle vittima. Una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.

Dopo aver selezionato i 3 account Facebook invierà i codici di sicurezza per recuperare l'account. Basta inserire questi codici e si avranno da Facebook e-mail e password Reset per l'account. L'hacker potrebbe quindi utilizzare l'account hackerato per gli attacchi di social engineering su altri account. "L'avviso richiede all'utente di confermare anche la sua identità attraverso uno dei vari metodi, tra cui la registrazione e la conferma di un numero di cellulare", ha detto un portavoce di Facebook Ars Technica via e-mail. "Se non riescono a rispondere entro un certo periodo di tempo, l'account viene automaticamente disabilitato. Il sistema 'Amico fidato' include garanzie per le quali è bassa la probabilità che vengano scelte amicizie recenti tra quelle dell'account per il recupero della password", ha aggiunto il portavoce.

Wordpress.org: scoperta backdoor in plugin, password reset e update

I tecnici di WordPress hanno comunicato di aver dovuto resettare tutte le password degli utenti registrati al servizio Wordpress.org in seguito al rilevamento di contaminazioni ricollegabili all'azione di un gruppo di hacker. La notifica arriva direttamente da Matt Mullenweg che ha pubblicato un post sul blog di WordPress.org. La causa di tale provvedimento risiede nella presenza di speciali backdoor all’interno di plugin molto popolari quali AddThis, WPtouch e W3 Total Cache.  Il reset delle password personali degli utenti interessano l’accesso al forum, a plugin e temi (lo stesso vale per bbPress.org e BuddyPress.org).