agosto 09, 2012

[Segurança] Quando seus dados na nuvem evaporam

A história do jornalista americano Mat Honan é assustadora e se espalhou pelo mundo todo: há poucos dias atrás crackers invadiram suas contas no Google, Amazon, Twitter e na Apple e, em poucos minutos, destruíram toda a sua "vida digital" usando apenas engenharia social.

O depoimento dele sobre o que ocorreu em poucos minutos no dia 3 de Agosto dá calafrios:
  • As 4:33pm, de acordo com registros do suporte da Apple, alguém ligou para a AppleCare alegando ser o Mat Honan pedindo ajuda pois não conseguia entrar em seu e-mail da Apple, com o domínio "@Me.com". Em resposta, a Apple forneceu uma senha temporária, apesar do autor da chamada não conseguir responder a perguntas de segurança que o Mat tinha criado.
  • As 4:50pm, uma confirmação da nova senha chegou na caixa de entrada do e-mail dele na Apple (me.com), que o ele nunca usou. Mas de qualquer forma, os hackers apagaram a mensagem imediatamente após clicarem no link desse e-mail para redefinir a senha do ID dele na Apple.
  • As 4:52pm, ele também recebeu uma mensagem de recuperação de senha do Gmail, que foi alterada pelos atacantes.
  • As 5:00pm os atacantes usaram o iCloud para apagar remotamente o iPhone.
  • As 5:01pm eles apagaram remotamente o iPad aravés do iCloud.
  • As 5:02pm, os atacantes redefiniram a senha do Twitter.
  • As 5:05pm o MacBook foi apagado, remotamente. Na mesma época, eles já tinham excluído a conta do Google - e todos os dados e e-mails.
  • As 5:10pm, o Mat ligou para pedir ajuda para a AppleCare.
  • As 5:12pm os atacantes postaram uma mensagem na conta do Mat Honan no Twitter anunciando o ataque.
Em poucos minutos, 8 anos de mensagens armazenadas no GMail e todos os dados do notebook dele foram apagados, para sempre. E tudo que o atacante precisou para começar o ataque em cadeia, foi usar um pouco de engenharia social para acessar a conta dele na Amazon e, com isso, usar o endereço e cartão de crédito cadastrados lá para invadir a conta na Apple.

O que aconteceu com o Mat Honan expõe algumas falhas de segurança nos suporte de vários serviços, principalmente da Apple e da Amazon. Não é a tôa que a privacidade e disponibilidade dos nossos dados é uma das primeiras preocupações que surgem quando pensamos em adotar a Computação em Nuvem. Apesar dos mecanismos de segurança existentes (senhas, frases secretas, etc), o suporte técnico da Apple e da Amazon permitiram o acesso dos atacantes com uma pitadinha de engenharia social. E as empresas não fornecem suporte a remoção acidental (ou criminosa) dos dados dos usuários.

Por outro lado, o Mat Honan também pisou um pouco na bola: todas as contas estavam relacionadas, o que permitiu um efeito em cascata arrasador. Os dados na Amazon eram os mesmos da Apple. A conta do Twitter estava associada a conta no GMail, e o GMail utilizava a conta associada ao ID na Apple como conta para recuperar a senha. Na Apple, os recursos para apagar remotamente o celular e o computador estavam ativos.

E, o pior: ele não tinha um backup atualizado dos dados em seu computador.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.