网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


遭受黑客攻击之后的苹果在线服务乌云笼罩

2012-08-11 09:56 推荐: 浏览: 51 views 字号:

摘要: 游侠评论:在各种“云产品”(之所以加引号,是因为太多号称提供云产品、云服务厂家的销售也分不清IDC、ISP、VPS、Vmware、分布式这些词,所以我加了引号)如火如荼的推广下,大家似乎都知道云这个东西,应该很不错,唯独……最主要的特性之一,安全性,没有得到有...

游侠评论:在各种“云产品”(之所以加引号,是因为太多号称提供云产品、云服务厂家的销售也分不清IDC、ISP、VPS、Vmware、分布式这些词,所以我加了引号)如火如荼的推广下,大家似乎都知道云这个东西,应该很不错,唯独……最主要的特性之一,安全性,没有得到有效的保障。前几天某国内领先的云主机供应商丢失了数据……是的,你的数据没了。他们的说法是你没有买服务——难道你们的云主机连个RAID都没有?!看看本文吧,让你知道,所谓的云,到底可能存在多少风险,这样的风险你是否可以接受?OK,开始

之前安全技术人员已经曝光了苹果的iCloud存在安全漏洞。下面是在苹果修复漏洞之前,为保护你的账号安全的一些建议。如果你还没有准备好接受建议,先看看Mat Honan写的关于黑客攻击iCloud的故事吧。每个iCloud用户都有必要去读这个告诫性的故事。

黑客攻击Mat Honan账号的动机是想得到其Twitter账号,向其15,000个收听者广播大量的垃圾信息。但是黑客们实际上做的比这个更多。

黑客们从Mat Honan的iCloud账号开始,一旦iCloud账号在他们的控制之下后,他们就能够恢复Mat Hona的Google和Twitter帐户的密码。

通过使用苹果的应用Find My iPhone 和 Find My Mac服务,这些黑客就能够远程清除掉Mat Honan的iPhone, iPad 和 MacBook Air上的数据。并且永久地删除了他的Google/Gmail账号。

在黑客们攻击的过程中,他们发现Mat Honan之前自己已经链接了Gizmodo的Twitter账号。因此,除了Mat Honan的15,000收听者外,黑客能够tweet@Gizmodo的400,000+的收听者。

但是最令人震惊的是黑客们是如何攻击他的iCloud账号。根据Mat Honan的iCloud帐户,黑客只需给苹果打电话- 提供给他的Mat Honan,地址和信用卡号的最后四个数字,而这些信息之前黑客已经从其他文件获得的。就是这样。

MacRumors称,大多数人的地址是很容易通过Google搜索获得,而攻击Mat Honan的黑客们能够从亚马逊上获得他的信用卡号码的最后四个数字。

攻击Mat Honan的黑客们利用了亚马逊的安全系统中不保护其用户信用卡号最后四位数字的漏洞。黑客只需要给亚马逊打2个电话。第一个电话,亚马逊允许你通过提供帐户的帐单地址,姓名和电子邮件地址添加第二个信用卡帐户。然后,第二个电话,通过验证先前添加的信用卡允许你添加第二个电子邮件地址。这第二个电子邮件地址能够获得的帐户信息,包括原来的信用卡的最后四个数字。

苹果的技术支持通过黑客提供的这些信息重置Mat Honan的iCloud的帐户,并向黑客们发送出临时的iCloud密码。这些听起来是无害的,但是却相当于给黑客的钥匙进去Mat Honan的数字生活。

尽管这个问题不能全部归责任于苹果和亚马逊。

Mat Honan在这方面做了很多愚蠢的事情,他喜欢用他的iCloud的地址,恢复他的Gmail和Twitter账户,没有备份他的MacBook Air上的婴儿的照片。但是,如果黑客通过简单的社会工程还是访问不了MatHonan的Apple ID,这一切都不会发生。

在苹果修复iCloud的安全漏洞之前,你可以通过做些措施来保护自己:

1.确保你有一个强壮的iCloud/ Apple ID密码。

2.为了保护不同的账户,建议每个账户使用单独的密码。如果你的网上银行账户和你的电子邮件账户使用了相同的密码,你就等着被黑客攻击吧。最起码也应该使用对不同的账户类别使用不同的密码。

3.为在线支付系统使用单独的电子邮件账户。这个电子邮件账户除了为在线支付系统提供服务外不做其他任何事情。

4.在您的Google帐户中启用两个步骤的验证和保护它。不要使用您的主电子邮件地址。

5.购买一个域名,用你信任的ISP建一个主机。在那之上建一个高安全性/财务帐目上的电子邮件帐户。使用高安全性应用的电子邮件帐户和密码恢复控制。

6.为亚马逊和你的Apple ID绑定不同的信用卡。

7.备份你认为重要的数据到处于你完全控制下物理介质。最理想的情况是备份2份,一份在线,一份离线。

苹果应迅速解决这个安全隐患。否则它可能会失去它在iCloud上好不容易建立起来的信任。

CNBETA Netheril

联系站长租广告位!

中国首席信息安全官