A recuperação da passwords na Apple

Na foto: Meet Mat Honan. Fotografado por: Ariel Zambelich/Wired. Ilustração: Ross Patton/Wired

Já se conhecem mais alguns pormenores sobre o processo que terá permitido desencadear aquele “pesadelo digital“, que fez com que Mat Honan visse toda a sua vida online ser apoderada por hackers em poucos minutos, e os seus dados desaparecerem frente aos seus olhos.

Como seria de esperar, o assunto tem sido abordado repetidamente, e todos querem saber como é que foi possível recuperar uma conta do serviço iCloud telefonando para a Apple e fazendo passar-se pelo legítimo dono dela… mas sem responder às perguntas de segurança.

Na foto: Mat Honan. Fotografado por: Ariel Zambelich/Wired. Ilustração: Ross Patton/Wired

E agora… ficamos a saber como é que tal é possível:

Aparentemente, para solicitar o reset da password de uma conta AppleID, basta telefonarem para o suporte técnico da Apple e fornecerem os seguintes dados:

  • o email associado à conta,
  • a morada da pessoa,
  • os últimos quatro dígitos do cartão de crédito do cliente

Com estes dados, a Apple disponibilizará uma password temporária para que possam recuperar a vossa conta… Mas, são dados que também são relativamente fáceis de encontrar na internet – não só devido aos milhões de dados de utilizadores que circulam por aí, fruto dos frequentes ataques de hackers que conseguem roubar bases de dados de serviços – como também ao caso caricato de, em serviços como a Amazon, os dados dos cartões de crédito serem mantidos escondidos… mas mantendo os últimos 4 dígitos visíveis. Ou seja, os dados visíveis na Amazon, são os dados que na Apple são usados para possibilitar este processo de recuperação de password!

E também a Amazon é vulnerável a este tipo de manipulação, já que esses tais preciosos números do cartão de crédito foram obtidos através deles: com os hackers a ligarem para lá pedindo para adicionarem um novo cartão de crédito à “vossa” conta (bastando para isso validarem a vossa identidade com o email e morada do “alvo”). De seguida ligam novamente para lá, e pedem para fazer reset à password, utilizando o número do cartão de crédito que acabaram de lhes dar!

Ainda assim, a Apple já terá reconhecido que: “…we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.”

Mas, é um reconhecimento estranho, pois a Wired já conseguiu replicar o processo utilizado pelos hackers – e que demonstra que este problema é mais grave, pois não terá dependido de um lapso de um funcionário (errar é humano, certo?)… mas sim da forma como todo este processo está implementado.

E quem fala da Apple, fala igualmente da Amazon, e de todo e qualquer outro serviço que permita efectuar estas recuperações com dados que – como se pode ver – não são assim tão difíceis de descobrir.

Neste incidente, tudo terá sido originado pelo desejo do hacker em se apoderar da conta de Twitter de Mat (@mat) que com apenas 3 caracteres, e não por real interesse em “destruir” a sua vida online (os hackers poderiam facilmente ter acedido aos seus dados bancários, fazer compras, transferir dinheiro, etc.). Mas, o que é certo é que os danos colaterais foram imensos… e potencialmente devastadores: o remote wipe do MacBook de Mat eliminou um ano e meio de fotos da sua filha, que poderão nunca vir a ser recuperadas.

Um episódio que não só servirá para alertar para os riscos, talvez demasiado elevados, deste tipo de procedimentos – como também para incentivar que as empresas repensem seriamente os sistemas que permitam recuperar passwords por via “não-presencial”.

Penso que será obrigatório que todo e qualquer serviço que pretenda ser levado a sério deverá implementar  sistemas de validação “2-step”, onde para além da password se dá uso a um código extra, enviado via SMS ou existente num cartão que foi enviado para a morada da pessoa. E que no caso de operações realmente destrutivas, como os tais remote-wipes de equipamentos… até deveria existir um “3-step”, para garantir que a possibilidade de abuso destas funções fosse mesmo “praticamente impossível” por qualquer outra pessoa.

[via wired]

0 comentários