San Francisco - "Stačila hodina a celý můj digitální život byl zničen." Tak začíná svůj příběh americký novinář Mat Honan, který přišel o účet na Googlu i Twitteru, stejně jako o všechna data, která měl uložená v iPhonu a iPadu. Akce se přitom obešla bez krádeže hesla a jakékoliv "brutální síly".
O tom, jak k útoku přesně došlo, se dozvěděl přímo od devatenáctiletého hackera přezdívaného Phobia. Jeho metody si následně sám ověřil - a skutečně fungovaly.
Telefon chtěl neznámý PIN
Za útok mohla v prvé řadě neopatrnost žurnalisty.
"Mé účty byly propojené," přiznává Honan s tím, že na všech doménách navíc používal adresu "mhonan". V rozsáhlé zpovědi na serveru Wired například lituje, že si nevedl žádnou speciální adresu, která by sloužila právě pro obnovování přístupových údajů a která by nijak nesouvisela s jeho účty u Apple či Google.
K útoku by ale nedošlo ani tehdy, pokud by firmy Amazon a Apple kontrolovaly, komu vlastně přes telefon pomáhají, jako je v Česku například běžné, když zákazník ztratí přístup do elektronického bankovnictví.
Že je něco špatně, Honan zaznamenal, když se mu vypnul iPhone. Jelikož očekával hovor, rutinně jej připojil na nabíječku a spustil, jenže neúspěšně. Systém po něm vyžadoval PIN, který novinář nikdy před tím nepoužíval - a ani neznal.
Následně tedy strávil hodinu a půl telefonátem na zákaznické centrum. Takto dlouho s pracovníkem Applu ovšem hovořil pouze proto, že operátor většinu času omylem pracoval s daty jiného klienta a marně po Honanovi požadoval odpověď na cizí bezpečnostní otázku.
Klíčové bylo číslo kreditky
Později žurnalista zjistil, že s Applem osoba vystupující pod jménem Mat Honan ten den již hovořila. Přímo operátor ale tuto informaci sdělil až poté, co se na ni muž, který měl podezření na hackerský útok, vysloveně zeptal.
Hacker kontaktoval Apple kvůli údajnému problému s přihlášením do e-mailu. Technický pracovník mu poskytl dočasné heslo, a to i přesto, že volající nebyl schopen zodpovědět kontrolní dotaz. Sdělil pouze fakturační adresu a poslední čtyřčíslí kreditky.
I k těmto údajům se přitom hacker dostal díky nedůsledné kontrole. Adresu si vyhledal na osobním webu novináře, v případě čísel uspěl u Amazonu.
Tam zavolal s tím, že má u firmy účet (jak jinak než "mhonan") a chce k němu přiřadit číslo karty, přičemž operátor akci povolil. V následujícím hovoru telefonující ohlásil ztrátu přístupových údajů k heslu. Sdělil jméno, adresu a číslo falešné kreditky.
Což stačilo Amazonu k tomu, aby umožnil volajícímu přidat další kontaktní e-mail. V rámci něj pak hacker změnil heslo, přihlásil se a posléze získal přístup ke skutečnému číslu karty. Vlastně, právě k poslednímu čtyřčíslí, které Amazon jako jediné z celého řetězce zobrazuje.
Jakmile se Phobia dostal do pošty na účtu Apple, tak nebyl problém vlomit se i do Twitteru, z něhož pod Honanovým jménem rozeslal několik rasistických a homofobních zpráv. Zrušil účet na Google a pomocí funkce "Find My Phone" také smazal obsah z iPhonu a iPadu.
Uvedená služba umožňuje nalézt ztracený přístroj - a také jej na dálku zbavit dat, aby je třeba případný zloděj nezneužil.
Největší ztráta? Fotky
Samotný novinář nepopírá, že měl být opatrnější. "Kdybych býval použil dvouúrovňové zabezpečení, nic z toho by se asi nestalo," píše na serveru Wired.
"Kdybych pravidelně data zálohoval, netrápilo by mě, že jsem ztratil dokumenty a e-maily za posledních osm let, které jsem nikde jinde neměl uložené," pokračuje s tím, že mimo jiné přišel o fotografie roční dcery nebo příbuzných, kteří jsou již po smrti.
Zároveň ale obviňuje americké firmy za to, že hackerovi zneužití cizích informací umožnily.
"Ochranu soukromí bereme vážně a vždy požadujeme několik různých ověřovacích údajů," komentovala mluvčí Applu Natalie Kerris. Zároveň uvedla, že aktuálně Apple zvažuje, jak bezpečí zákazníků ještě zvýšit.
Zástupci Amazonu se k incidentu nevyjádřili. V úterý ovšem oznámili, že došlo ke změně podmínek a lidé nově nemohou nastavení údajů, jako je číslo karty nebo přístupový e-mail, měnit po telefonu.
