Даже если ты прожженный компьютерный журналист и блогер, написавший сотни статей о высоких технологиях, хакеры могут превратить твою цифровую жизнь в руины за считанные минуты. Именно это произошло в 2012 году с техническим экспертом и автором Wired Мэттом Хоннаном: в течение нескольких часов он потерял доступ к своим аккаунтам Google, Amazon, Apple и Twitter, а также лишился всех данных на iPhone, iPad и MacBook. Личная информация, семейные фотографии, рабочие документы были утеряны. Это случилось в результате тщательно спланированной хакерской атаки, и стало возможным потому, что Мэтт возлагал слишком большие надежды на облачные технологии. Впрочем, они же в конечном итоге и помогли ему вернуть утраченное. Однако обо всем по порядку.


Был обычный летний пятничный вечер, Мэтт пришел домой в дурном настроении, потому что у него внезапно выключился iPhone. А когда он подключил телефон к зарядному устройству и взглянул на дисплей, то увидел там не девушку-виденье, а экран первоначальной настройки с надписью «Hello!» на разных языках — кто-то дистанционно стер всю информацию на его смартфоне.

Сначала Мэтт подумал, что это какой-то аппаратный сбой, и телефон можно будет быстро восстановить из резервной копии, хранящейся в iCloud. Он ввел данные собственного AppleID, но бездушная железяка сообщила, что пароль неправильный. Еще одна копия данных с iPhone хранилась на макбуке Хоннана, но когда он открыл свой ноутбук, появилось сообщение iCal о том, что данные его учетной записи Gmail неверны. Затем экран потемнел и на нем появился запрос четырехзначного PIN-кода, которого Мэтт не знал. Аналогичная печальная картина обнаружилась на его iPad, который он только что принес с работы. Самое неприятное — на макбуке хранились написанные Мэттом статьи, важные документы, снимки и видео из поездок за последние несколько лет. А главное, фотографии его семьи и новорожденной дочери. Все данные на трех его устройствах оказались уничтожены.

В этот момент Хоннан догадался, что стал жертвой хакерской атаки, но сначала подумал, будто злоумышленники проникли в его домашнюю локальную сеть. Поэтому он отключил свой роутер и отправился к соседу, чтобы попытаться что-то сделать с его компьютера. Именно там он и узнал, что одними только устройствами Apple его «цифровые потери» не ограничились: неизвестные хакеры поменяли пароль его учетной записи Google, из-за чего Мэтт утратил доступ к почтовому ящику Gmail. Кроме того, сменились данные его учётки в сервисе Amazon, которым Хоннан также регулярно пользовался. Мэтт с ужасом осознал, что злодеи наверняка сумели получить доступ и к его банковским счетам, потому что, несмотря на всю свою техническую подкованность и опыт, Хоннан допустил ту же распространенную ошибку, что и многие другие люди на нашей планете: он использовал одинаковый пароль сразу на многих сервисах. В добавок ко всем злоключениям, в гостях у соседа Мэтт выяснил, что злодеи завладели его аккаунтом Twitter. Чуть позже они разместили от его имени издевательский твит о том, что аккаунт взломан хакерами, скрывающимися под никами Vv3 и Phobia.



В первую очередь Хоннан позвонил в техподдержку Apple и проговорил с ее сотрудниками полтора часа: он пытался выяснить, получится ли у него вернуть хранившиеся в ноутбуке документы, переписку и фотографии, копий которых больше нигде нет. Результат беседы его не обнадежил. На самом деле, это был не первый звонок по поводу аккаунта Хоннана в этот день: получасом ранее в техподдержку уже звонил хакер, представившийся Мэттом Хоннаном. Причем в Apple позже подтвердили, что такой звонок действительно был, но только когда Хоннан напрямую спросил сотрудников технической поддержки об этом. А сам он узнал о звонке от хакера.

Больше всего Мэтт переживал из-за того, что он, журналист, пишущий о технологиях с 90-х годов, не предпринял ничего, чтобы обезопасить свои данные, а значит, в произошедшем виноват прежде всего он сам. Конечно, время от времени он делал резервные копии своего iPhone и iPad на макбуке, но последняя такая копия создавалась более года назад. И, конечно же, копий самого макбука не существовало в природе вовсе, потому что Хоннан считал его основным устройством, на котором хранится вся нужная ему информация. По крайней мере, считал до тех пор, пока все три девайса от Apple разом не вышли из строя.



Первым Мэтту удалось вернуть к жизни компьютер. Когда вы удаленно стираете жесткий диск на украденном «маке» с помощью функции Find My Mac, система просит вас создать четырехзначный PIN-код, чтобы в случае, если компьютер найдется, можно было обратить процесс вспять. Однако когда данные стирает хакер, получивший доступ к вашей учетке AppleID, вы никак не сможете узнать этот код и вернуть информацию — в результате все, что хранилось на диске, будет утеряно безвозвратно. После того как Хоннан обратился в службу технической поддержки, для него создали новый пин-код, — это позволило разблокировать ноутбук, но устройство все равно оставалось в неработоспособном состоянии: чистая система, никаких данных.

Затем Хоннан создал новый аккаунт в Twitter и сообщил своим друзьям и подписчикам о том, что его взломали. Мэтт предположил, что хакеры подобрали его семизначный буквенно-цифровой пароль от AppleID методом перебора по словарю. Однако именно в этот момент вечер перестал быть томным, потому что Хоннану ответил сам Phobia, заверив жертву, что брутфорс тут совершенно ни при чем. Мэтт решил разговорить незнакомца с целью узнать подробности атаки и выяснить, как злоумышленникам удалось завладеть его аккаунтами и с какой целью они вообще это сделали — все его средства на банковских счетах остались нетронутыми. Поначалу Phobia отказывался выдавать журналисту подробности, но к вечеру воскресенья все-таки согласился создать «одноразовый» e-mail на анонимном почтовом сервере и подробно ответить на его вопросы в переписке.

Итак, хронология атаки выглядела следующим образом. Днем в пятницу хакеры наткнулись на Twitter-акаунт Мэтта Хонанна, где он разместил ссылку на собственный сайт. На сайте был опубликован контактный адрес электронной почты в сервисе Gmail: mhonan@gmail.com. Немного погуглив, взломщики убедились, что его рабочий почтовый адрес в журнале Wired выглядит похоже: mhonan@wired.com. Затем они запросили в сервисе Gmail сброс пароля, и там обнаружилось, что ссылка для изменения учётки придет на запасной адрес журналиста: m••••n@me.com. Нетрудно предположить, что «m••••n» также означает «mhonan», а сервис Me.com, как известно, принадлежит Apple и связан со службой iCloud. Осталось только получить доступ к этому почтовому ящику.

Чтобы восстановить пароль к почте на сервисах Apple, хакерам потребовались дополнительные сведения: почтовый адрес для выставления счетов и четыре последние цифры банковской карты Хоннана. Адрес Мэтта они выяснили с помощью службы Whois, вбив туда домен его сайта. Однако даже если сайта с собственным доменом у вас нет, адрес можно выяснить другими способами: в США, например, для этого используются службы Spokeo, WhitePages и PeopleSmart. Раздобыть последние четыре цифры номера банковской карты оказалось немного сложнее, но хакеры успешно решили и эту задачу.



Позвонив в службу технической поддержки Amazon, взломщики представились Мэттом Хоннаном и заявили, что хотели бы привязать к своей учетной записи новую банковскую карту. Для этого они сообщили имя пользователя, связанный с ним адрес электронной почты и адрес для выставления счета — вся эта информация у хакеров уже имелась. Реквизиты карты они сгенерировали с помощью специального веб-сайта, создающего фейковые, но валидные номера кредиток. Затем они положили трубку, перезвонили в Amazon еще раз, снова представились Мэттом Хоннаном и сказали, что потеряли доступ к своей учетной записи. После предоставления имени, платежного адреса и номера банковской карты, который они привязали к аккаунту во время предыдущего звонка, Amazon позволил им добавить новый адрес электронной почты в учетную запись. Осталось лишь перейти на сайт Amazon и выполнить сброс пароля на этот новый адрес. Затем, авторизовавшись с новым паролем, хакеры увидели в личном кабинете Amazon данные реальной кредитки Мэтта Хоннана — вернее, только последние 4 цифры, но этого оказалось достаточно, чтобы сбросить пароль от iCloud.

В 16:33 хакер позвонил в AppleCare и представился Мэттом Хоннаном. Звонивший сообщил, что не может войти в свою электронную почту Me.com. Сотрудник техподдержки запросил домашний адрес Хоннана и последние 4 цифры его банковской карты, после чего выдал звонившему новый пароль. Это произошло несмотря на то, что звонивший не смог правильно ответить на заданные Мэттом при регистрации контрольные вопросы.

В 16:50 на почтовый ящик Me.com Хоннана пришло сообщение о сбросе пароля AppleID, но даже если бы он проверял «Входящие» каждую минуту, то все равно не смог бы прочитать это письмо, потому что хакеры сразу же удалили его.

В 16:52 в его почтовый ящик Me.com пришло электронное письмо о восстановлении пароля Gmail. Две минуты спустя пришло еще одно сообщение с уведомлением о том, что пароль учетной записи Google успешно изменен.

В 17:02 хакеры сбросили пароль Хоннана в Твиттере. Затем взломщики использовали инструмент iCloud «Find My», чтобы удаленно стереть данные с iPhone Мэтта, спустя минуту они удалили всю информацию с iPad, стерли резервные копии в iCloud и еще через 5 минут очистили его MacBook.

Примерно в то же время злоумышленники полностью удалили его учетную запись в Google вместе с почтовым ящиком Gmail, где хранилась переписка Хоннана за минувшие 8 лет. В 17:10 перепуганный Мэтт сам позвонил в техподдержку Apple, а в 4:12 утра хакеры разместили на его аккаунте в Твиттере сообщение, взяв на себя ответственность за взлом.

На вопрос: «зачем» Phobia ответил, что ему очень понравился трехсимвольный аккаунт Мэтта в Твиттере — «mat», и он решил угнать его. Все остальные действия, включая уничтожение данных на устройствах жертвы, были предприняты лишь для того, чтобы Хоннан не смог вернуть контроль над аккаунтом. Однако после того, как дело было сделано, Phobia полностью оправдал собственный ник — он испугался поднявшейся шумихи: о взломе известного журналиста написал Wired и рассказали в вечерних новостях CNN. Тогда-то он и решил повиниться перед Хоннаном, сообщив, что грозному хакеру всего 19 лет, и он учится в колледже. При этом на следующий день Хоннан лично повторил все действия хакера с другими учетными записями и убедился, что метод реально работает.



Хоннану быстро удалось вернуть контроль над учетной записью Twitter: ради справедливости следует сказать, что это получилось во многом благодаря известности Мэтта — он популярный журналист, и в саппорте соцсети к его проблеме отнеслись с пониманием. Сколько времени могло уйти на восстановление доступа у рядового пользователя, сложно даже представить. А вот с аккаунтом Google пришлось повозиться. У этой корпорации техническая поддержка роботизирована, и чтобы доказать, что именно ты являешься владельцем удаленной учетной записи, нужно правильно ответить на целый ряд контрольных вопросов вроде «в каком году и в каком месяце вы зарегистрировались в Google?» или «назовите трех последних адресатов, которым вы отправляли письма с вашего почтового ящика Gmail». Думаю, далеко не всякий человек сможет вот так вот сходу вспомнить эти сведения. Однако поскольку Gmail — облачный сервис, информация некоторое время хранится в облаках Google даже после удаления аккаунта, и ее можно восстановить.

Данные с MacBook Хоннану помогли частично вернуть в мастерской, занимающейся восстановлением информации с поврежденных жестких дисков. Ну, а после публикаций в прессе Apple изменила порядок восстановления пароля к электронной почте. Сам Хоннан сделал из произошедшего простые выводы: если бы он использовал двухфакторную аутентификацию в своей учетной записи Google, возможно, ничего страшного и не произошло бы. Хакерам удалось найти своего рода уязвимость в протоколах технической поддержки двух крупных IT-компаний: те самые четыре цифры номера банковской карты, которые в Amazon считали безопасной информацией для отображения в открытом виде, — это именно те самые цифры, которые Apple считает достаточными для проверки личности. Ну, и конечно же, механизмы безопасности на основе паролей, которые можно сбросить с помощью социальной инженерии, определенно устарели в эпоху облачных технологий.

Сам Хоннан писал по этому поводу: «Первоначально я зарегистрировался в Apple, чтобы покупать песни по цене 99 центов за штуку, но с годами тот же идентификатор превратился в единую точку входа, которая контролирует мои телефоны, планшеты, компьютеры и жизнь, основанную на данных. С помощью AppleID кто-то может мгновенно совершить покупки на тысячи долларов или нанести ущерб, стоимость которого невозможно определить».

Мэтт относительно легко отделался: хакеры могли использовать его почтовый ящик, чтобы получить доступ к онлайн-банкингу или финансовым услугам. Кроме того, за время работы журналистом в контактах Хоннана скопилось значительное количество весьма влиятельных людей, которые тоже могли пострадать от рук злоумышленников. Можно сказать, ему повезло, что взломщиком оказался 19-летний парень, целью которого было всего лишь завладеть чужим Twitter-аккаунтом, чтобы похвастаться своими достижениями перед друзьями. Если бы на месте студента колледжа оказался кто-то другой, у этой истории мог быть и менее счастливый конец.

Статья поддерживается командой Serverspace.

Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серверы с ОС Linux и Windows в 8 дата-центрах: Россия, Беларусь, Казахстан, Нидерланды, Турция, США, Канада и Бразилия. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.

IT-инфраструктура | Кешбэк 17% по коду HABR