Denken Über El weblog de Mariano Amartino donde escribo sobre tecnología, estrategias y cosas de internet.

Hace 2 años

Amazon y Apple cambian sus políticas por el hack a un periodista

Hacía falta que le hackearan la cuenta a una persona que pudiera publicarlo en Wired y en su blog y lograr que hasta empresas de seguridad analizaran como pudieron borrarle toda su vida digital en una hora para que Amazon y Apple, dos pesos pesado del comercio electrónico, decidieran cambiar sus políticas de seguridad… y aunque personalmente crea que el error de Apple es enorme la realidad es que esto muestra que hacen falta estándares de seguridad a nivel global.

No quiero explicar completamente como le borraron toda la vida digital a Mat Honan porque en Wired lo hacen a fondo pero les resumo los puntos principales:

  • Mat Honan usa el mismo mail para todas sus cuentas/contraseñas
  • Un hacker accede a Gmail y ve que tiene una cuenta de me.com
  • Hace un llamado a Amazon dando mail, dirección datos y asociando una nueva tarjeta de crédito (estos numeros se generan gratis en la web) y le dan una nueva clave de acceso
  • Entran en Amazon solo para ver los 4 últimos dígitos de la tarjeta de crédito real
  • Llaman a soporte de Apple diciendo que perdieron la clave pero dan nombre, dirección y los últimos 4 números de la tarjeta para que Apple le haga un reset de la clave y se la den por telefono.

Y ahi “All Hell Breaks Loose” aprovechando la estupidez de Honan de tener todas sus cuentas asociadas a Me.com y a Gmail y la imbecilidad del soporte humano de Apple en resetear la clave… aprovecharon los servicios “Find My Mac” y “Find My iPhone” para hacerles un remote Wipe seguro, para borrarle todos los servicios web que tenía asociados y finalmente lograr su objetivo principal.

Hackearle la cuenta de Twitter

Si, aunque no lo crean, todo esto fue porque un hacker quería tener acceso a la cuenta @mat pero el resto de los problemas se dieron por 3 factores simples:

  • Apple sin políticas de seguridad estándar pide como confirmación los 4 números de una tarjeta que siempre se muestran y encima para evitar que algo asi te pase solo podés hacerlo desde la cuenta, que alguien te hackea (falta de procesos e imbecilidad)
  • Amazon permitiendo que sin responder todas las preguntas de seguridad te deje asociar otra tarjeta de crédito (Falta de procesos estándar y ¿nueva tarjeta sin siquiera verificar?)
  • Mat Honan que usa una sola cuenta como repositorio de claves y que ni siquiera usa el 2 Factor Authentication de Google para prevenir hackeos

Ahora dense cuenta de algo simple; si Amazon y Apple (empresas en las que tengo cuentas con tarjetas asociadas y que uso constantemente y en las que confiaba hasta ayer) le dan a alguien una clave temporaria sin que esta persona responda todas las preguntas de seguridad y sin verificar las tarjetas asociadas… ¿que nos queda esperar a los consumidores finales?

No es muy dificil saber que los 4 últimos dígitos de las tarjetas se muestran en todos lados (hagan la prueba entren a sus cuentas de Itaú, HSBC, BofA, Amazon, etc.) porque eso permite que las identifiques y puedas operar con una o con otra… ¿como puede se que esos 4 números sean una prueba de seguridad?

¿Como puede ser que se permita hacer un WIPE remoto y completo y seguro de equipos sin dar una posibilidad de recuperación en caso de hackeo? ¿Como puede ser que no haya un estándar en la industria que defina procesos?

Porque siendo honestos, los hackers le borraron todo solo por diversión pero podrían haber tenido acceso a todos sus servicios en la nube y asi adueñarse de su vida completamente… todo porque dos empresas tienen procesos ridículos y que los cambiaron de apuro pero haciendo las cosas molestas para los usuarios

Si uno mira todo el proceso de hackeo fueron pasos con conocimientos técnicos pero los puntos clave (acceso a Amazon y acceso a Apple) fueron simplemente ingeniería social… llamaron, esperaron que las empresas salten los procesos, sabían donde estaban los fallos y los explotaron con dos llamadas de teléfono.

Y solo porque Mat Honan escribe en Wired… cambiaron sus medidas de seguridad y la única solución que tenemos es usar el 2 Form Authentication o tener ademas de muchas claves, muchos mails para muchos servicios.

3 comentarios por ahora

Rodrigo

Es increíble esto. Muy buena nota.

lmuran

por suerte no fuiste tu mariano

javier

Por cosas como esta soy reacio a usar servicios que me parecen muy útiles pero que acaparan usuarios y pass de otros servicios, como IFTTT.