Matt Cutts de Google insta a los usuarios a adoptar la autenticación de 2 pasos en secuelas del incidente 'hackeo épico'
No todos los días que correo electrónico y cuentas de redes sociales de un periodista de tecnología son hackeados. Después de todo, podríamos esperar que estas personas sean más conocedores de la tecnología que el resto de los mortales. Pero incluso con contraseñas seguras, los hackers pueden todavía encontrar maneras ingeniosas de ejecutar ataques de ingeniería social. Y a veces puede implicar departamento de servicio al cliente de su proveedor de servicios preferido.
Mat Honan, quien escribe para Wired, detalla cómo su "vida digital entero" había sido arrasada por un hacker que quería estropear su cuenta de Twittermat.
En el espacio de una hora, toda mi vida digital fue destruida. Primero mi cuenta de Google se hizo cargo, a continuación, eliminar. Siguiente mi cuenta de Twitter fue comprometida, y se utiliza como una plataforma para difundir mensajes racistas y homofóbicos. Y lo peor de todo, mi cuenta ID de Apple fue asaltada, y mis hackers utilizaron para borrar de forma remota todos los datos en mi iPhone, iPad y MacBook.
Cuentas encadenadas-Daisy
El hacker explota el hecho de que Gmail, Apple ID, Twitter y Amazon cuentas de Honan estaban conectados en cadena junto con una mezcla de mensajes de correo electrónico de recuperación de contraseñas, información de tarjetas de crédito e incluso el uso del mismo ID de usuario (el prefijo que viene antes de la @ Ingresa tu dirección de correo electrónico).
El hacker, que se conoce con el nombre de "Phobia" fue capaz de conseguir los últimos cuatro dígitos del número de tarjeta de crédito de Honan en Amazon. Si bien eso es inofensivo en sí mismo, estas mismas cifras son lo que Apple utiliza para verificar la identidad del usuario para la recuperación de contraseña y Fobia fue capaz de obtener acceso a la Honan ID de Apple.
Fobia fue capaz de romper en cuenta Gmail de Honan, y luego Twitter. El hacker entonces desfiguró la cuenta de Twittermat con mensajes homofóbicos y racistas. Esta fue la hazaña, y en una conversación, el hacker admitió que la eliminación remota de salida de de Honan iPhone, iPad y MacBook eran apenas daños colaterales.
El hecho de que los dispositivos de Jonán fueron eliminados remotamente añadió lesión en el insulto, ya que él dijo que tenía años de fotografías almacenadas en aquellos dispositivos que ya no podían ser recuperados. No hubo otras copias de seguridad, ahorrar para iCloud.
El uso de la verificación en dos pasos
Honan ahora cree que "los sistemas basados en la nube necesitan fundamentalmente diferentes medidas de seguridad." Con la información del usuario se mueve cada vez más a la nube, los proveedores de servicios tendrán que mejorar su forma de verificar la identidad. De hecho, todos los proveedores en el ecosistema de la nube deben coordinar sus esfuerzos de seguridad. Con las cuentas de usuarios que se conectan a través de diferentes servicios, los hackers pueden encontrar fácilmente las lagunas y explotarlas para obtener acceso no autorizado.
Matt Cutts de Google ha hecho hincapié en que el uso de la verificación en dos pasos puede proporcionar una capa adicional de seguridad. Debido a que la verificación de dos pasos requiere algo que usted sabe (contraseña) y algo que tienes (teléfono móvil), los hackers tienen menos probabilidades de ser capaz de romper en.
He aquí un vídeo de presentación para la verificación de dos factores que el Matt Cutts publicó en su blog.
La fijación de la infracción
Apple ha dicho que sus propias políticas internas no fueron seguidos por completo. A partir de la escritura, sin embargo, Apple y Amazon han cambiado en silencio sus políticas de seguridad para evitar un robo similares que se produzcan. Amazon ahora no permite la adición de información de la tarjeta de crédito por teléfono. Del mismo modo, Apple ya no dar a conocer las contraseñas temporales de la misma manera.
Aún así, esto pone de relieve la cuestión de fondo de la computación en nube. Nuestra información de usuario se está moviendo cada vez más hacia la nube, y estamos cada vez más dependiente de las políticas de seguridad de nuestros proveedores de servicios. Pero con más y más detalles - y archivos personales - en Internet, también es más fácil para la gente con malas intenciones de causar daños, incluso sin nuestra intervención.
Un consejo: usuario contraseñas más seguras, utilizar diferentes contraseñas a través de los servicios, y permiten la verificación de dos pasos.