Говоря об информационной безопасности, не обойтись без обсуждения отдельных недоработок и проколов, которые, к сожалению, имеют место в любой отрасли. Но в случае с ИБ их цена может быть очень велика - я говорю даже не о злобных хакерах, которые захватили АСУ атомной станции, а о стоимости каждой небольшой, казалось бы, потери данных, доступа к аккаунту и т.д. Поэтому нужно, как принято у японцев, каждый день хоть понемногу улучшать то, что ты делаешь, чтобы результат был хорошим, и учиться на чужих ошибках.
На сей раз спонсором таких ошибок стал не кто-нибудь, а корпорация Apple. Вот как это было:
урналист Мэт Хонан (Mat Honan), который работает на несколько IT-изданий, в частности Gizmodo и Wired, сообщил в своем блоге , что неизвестные хакеры взломали его учетную запись в iCloud.
Взлом, для которого хакеры использовали методы социального инжиниринга, был осуществлен 3 августа 2012 года. Позвонив в техподдержку Apple, якобы от имени Хонана, злоумышленникам удалось правильно ответить на все вопросы безопасности и впоследствии подобрать семизначный пароль к учетной записи журналиста.
Подробнее: http://www.securitylab.ru/news/428034.php
Взлом, для которого хакеры использовали методы социального инжиниринга, был осуществлен 3 августа 2012 года. Позвонив в техподдержку Apple, якобы от имени Хонана, злоумышленникам удалось правильно ответить на все вопросы безопасности и впоследствии подобрать семизначный пароль к учетной записи журналиста.
Подробнее: http://www.securitylab.ru/news/428034.php
В чем же здесь ошибка Apple? Если знать всю процедуру восстановления пароля, то увидеть её несложно. Дело в том, что хотя вопросов целых три, их нельзя поменять, то есть, они стандартные для всех пользователей. Это, конечно, не такое эпичное наплевательство на защиту, как девичья фамилия матери для блокировки-разблокировки банковских карт, но тоже не самая лучшая демонстрация профессионализма безопасников Apple.
Конечно, вряд ли бы журналист, который не удосужился даже применить двухфакторную аутентификацию для своего гугловского аккаунта, стал бы заморачиваться изобретением собственных вопросов для Apple. Но для многих других людей такая возможность была бы очень и очень полезной. Я, конечно, не думаю, что этот инцидент как-то повлияет на подходы к безопасности внутри "яблочной" корпорации, но, возможно, те, кто прочитают мой пост, учтут этот ляп при проектировании собственных систем безопасности.
Р. Идов,
аналитик компании SearchInform
