iCloudアカウントHack
WiredのMat Honan氏により、高度な技術を使わず電話だけを利用した驚くべきソーシャルハッキングの手口が明らかになった。
まずは、Amazonのカスタマーサービスを誤魔化してAmazonアカウントへ侵入し、クレジットカード番号の下4桁だけを入手。AppleのiCloudカスタマーサポートに電話し、下4桁とメールアドレス、住所を伝えることでパスワードリセットを認めさせ、最終的にiCloudアカウントへの侵入に成功した模様。
Amazonでもカードを不正利用して買い物される恐れがあるが、新しい送付先を選択する場合には再度認証が必要になる。
レシートにも印字されるクレジットカード番号の下4桁がAppleでは「本人確認の重要な情報」になっていたとは気付かなかったが、iTunesの音楽購入アカウントだったApple IDがいつしかクラウドデータのみならずiPhoneやiPad、MacBookのデータまでも削除できる鍵に昇格していたという事実にも改めて驚いた。
取り敢えずAmazonとAppleはカスタマーサポートの電話による手続きを制限する事で穴を塞いだようだが、「シングル・サインオン」とどう向き合うのか、今のうちからきちんと考えないといけないな。
参照
ギズモード・ジャパン http://www.gizmodo.jp/
- アップルとアマゾンのセキュリティはこんなにもザルだった 2012年8月9日
ネタりか http://netallica.yahoo.co.jp/
- アップルとアマゾンのセキュリティはこんなにもザルだった 2012年8月9日
マイナビニュース http://news.mynavi.jp/
ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
- GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗 2012年8月6日
- 米記者のiCloudアカウント乗っ取り、AmazonとAppleをだまして実行か 2012年8月8日
Wired.com http://www.wired.com/