iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
サービス側がパスワードを平文で保存する10の理由: ある nakagami の日記
(タイトルは釣りです) 「おいおい、おれのパスワードがメールで送られ来たよ」 という事例があとを経たず歴史は繰り返すなー、と思う今日この頃。 何故に平文で保存するのか?を自分なりに想像してみた 間違いとか、追加とかあったら教えて 1. 知らない ハッシュ値で保存しておいて、入力されたパスワードを、そのハッシュ値で 比較すればよいということを知らない。 プロなのに無知。しかし、このパターンが一番多い気がする。 2. 電話サポートが簡単 電話で問い合わせがあった時に、パスワードを再発行してもらうより その場の電話で口頭でパスワードを言ったほうが早く済む。客も喜ぶ(人もいる) 僕は、自分のパスワードを口頭で伝えられたらいやーな気分になりますが 3. めんどくさい 保存とはちょっと違うけど HTTP の Basic 認証とか csv pserver 認証とかって 符号化してるだけで簡単に復号できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題
