Já há muito tempo que se sabe que o grande problema com a segurança, não é de facto a falta de inovação na tecnologia. É algo muito mais complexo – o factor humano.
O termo social engineering, no contexto da segurança, descreve a arte de manipulação do ser humano para que o resultado seja a divulgação de informação confidencial – se quiser ler mais, recomendo o livro The Art of Deception: Controlling the Human Element of Security (affiliate link).
E assim, com toda a nossa preocupação em ter passwords seguras, e todo o investimento por parte da Apple, em manter as nossas informações seguras, tinha que ser um agente do FBI a ser o catalisador para uma partilha massificada de informação pessoal de 12 milhões de clientes da Apple.
“During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of ”NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zip-codes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.”
As consequências e implicações são inúmeras, mas as mais preocupantes são a falta de controlo que afinal as maiores empresas do mundo têm, em controlar o destino dos seus assets (dados de clientes) e o facto que não só a FBI está a recolher informação privada bem como não parece ter noção da sua gravidade – um ficheiro no desktop de um agente? Em formato csv?
Um Aviso Para Utilizadores de produtos da Apple
Para quem ainda não leu, deverá perder 10 minutos a ler o que aconteceu a Mat Honan – “In the space of one hour, my entire digital life was destroyed.” Por uma lado, foi através de social engineering (básico) que o hacker conseguiu entrar na conta do Mat na Apple. Por outro, foi a interligação entre contas online e seu email que resultou nos danos colaterais . Como?
Utilizando os últimos quatro dígitos do seu cartão de crédito, algo que a Amazon assume não ter grande valor e partilha online, um hacker contactou a Apple, que assume (assumia) esses números como uma forma principal de autenticação, e assim foi lhe dado uma password temporária para a conta de email .me que deu acesso a tudo o resto. É que Mat não é único a ter tudo pendurado num email da Apple, Google ou outro serviço igual.
Se alguém conseguisse entrar no seu email, provavelmente iria ter acesso a todas as outras contas suas – simplesmente colocando no LinkedIn, Facebook, Twitter, etc, o seu email (agora nas mãos de outros) e pressionar forgot password.
Mas pior que tudo isto, é o facto que agora, através do novo iCloud, podemos limpar remotamente, não só o iPhone e iPad, como também qualquer Mac que esteja registado no serviço. E foi isso que aconteceu a Mat – perdeu tudo.
O seu ultimo erro foi algo que a maioria, mais uma vez, faz. Ou neste caso, não o faz – backups diários. Sim backups – quando foi a ultima vez que fez um backup?
In Mensagem deixada online pelo grupo de hackers
Leave a Reply