(foto)
Den ansedda tidningen Wired har i veckan en stor artikel om hur deras ”senior reporter” Mat Honan hackades. Det var inget litet hack. En 19-årig hackare gillade twitternamnet @mat och ville komma över det. Så han inledde en rad till synes avancerade försök, men egentligen löjligt enkla, för att komma över inte bara kontot, utan hela hans digitala liv.
Inom loppet av några timmar hade Mat Honans dator, Iphone och gmail-konto raderats helt. Allt gjordes via Icloud, som är uppbyggt för att du ska kunna hitta och återskapa din data ifall den blir stulen. Anledningen? Att Mat inte skulle kunna stoppa hackaren från att använda Twitterkontot.
Allt började med att hackaren behövde hitta mejlinlogget till Twitterkontot. Det var enkelt att hitta på Mats hemsida. Han behövde då komma åt gmail-kontot. Genom att rapportera ”glömt lösenord”, kunde han hitta Mats alternativa mejladress. En @me.com-adress, Apples mejladress. För att komma åt den mejlen behöver han kunna verifiera att han verkligen är han hos Apple. Det kan man göra på flera sätt, men enklast är att uppge de fyra sista siffrorna på sitt kreditkort, samt hemadress. Sedan har du tillgång till allt som någon har lagt hos Apple. Är det kopplat till Icloud kan du fjärr-radera både din Iphone och Mac.
Hackaren kände inte Mat, utan var tvungen att hitta ett annat sätt att få tag på kreditkortsnumret. Det gjorde han genom att kontakta Amazon. Mat beskriver själv:
First you call Amazon and tell them you are the account holder, and want to add a credit card number to the account. All you need is the name on the account, an associated e-mail address, and the billing address. Amazon then allows you to input a new credit card. (Wired used a bogus credit card number from a website that generates fake card numbers that conform with the industry’s published self-check algorithm.) Then you hang up.
Next you call back, and tell Amazon that you’ve lost access to your account. Upon providing a name, billing address, and the new credit card number you gave the company on the prior call, Amazon will allow you to add a new e-mail address to the account. From here, you go to the Amazon website, and send a password reset to the new e-mail account. This allows you to see all the credit cards on file for the account — not the complete numbers, just the last four digits. But, as we know, Apple only needs those last four digits. We asked Amazon to comment on its security policy, but didn’t have anything to share by press time.
Sedan var det enkelt att kontakta Apple, ändra lösenordet, logga in på @me.com-adressen och på så sätt komma åt Gmail-kontot för att på så sätt komma åt Twitterkontot. Att allt raderades gjordes inte av hat, utan helt enkelt för att hackaren ville förhindra honom att stoppa honom.
Mat, som alltid varit noga med att göra backuper mellan sina datorer – men aldrig gjort några fysiska backuper – håller nu på att snickra ihop sitt digitala liv igen. Mycket är försvunnet för evigt. Som alla bilder på hans dotters första år.
Han har nu skapat ett nytt twitterkonto där han lyckats etablera en kontakt med hackaren och också frågat varför just han valdes ut. Hackaren svarar:
“I honestly didn’t have any heat towards you before this. i just liked your username like I said before”
Läs hela historien, skriven av Mat själv, i Wired. Det är en viktig läsning om vår sårbarhet idag.