Ook Amazon faalde bij social engineering-aanval

Niet alleen Apple, maar ook Amazon werd om de tuin geleid bij de social engineering-aanval waarbij accounts van een journalist werden gekraakt. Bovendien zegt de journalist aanwijzingen te hebben dat er meer slachtoffers zijn.

In een reconstructie schrijft Wired-journalist Mat Honan hoe een aanvaller toegang kreeg tot zijn Gmail-, iCloud- en Amazon-accounts. Maandag werd al bekend dat de 'hacker' erin slaagde om toegang te krijgen tot die accounts, waarbij een remote wipe op de iPhone, iPad en Macbook Air van de Wired-redacteur werd uitgevoerd. Hij had geen backup gemaakt van zijn apparaten. Ook kreeg de aanvaller toegang tot de Twitter-accounts van Honan zelf en van Gizmodo, waar Honan voorheen werkte.

Duidelijk was al dat de afdeling technische ondersteuning van Apple om de tuin was geleid door de aanvaller, die een medewerker van die afdeling zo ver kreeg om een nieuw, tijdelijk wachtwoord te verstrekken dat door hem kon worden gebruikt. Uit de reconstructie op Wired blijkt echter dat ook Amazon steken heeft laten vallen.

De eerste stap die de aanvaller nam, was het verzamelen van informatie. Via de password reset-functie van Gmail wist hij het iCloud-adres van Honan te achterhalen, waarnaar het wachtwoord werd verzonden. Het e-mailadres werd door Google getoond als m****n@me.com, maar dat was genoeg informatie voor de aanvaller. Daarnaast wist hij via de whois-database het adres van Honan te achterhalen.

Al deze informatie bij elkaar was nog niet voldoende om Apple zo ver te krijgen om een nieuw wachtwoord uit te geven; daarvoor had hij de laatste vier cijfers van de creditcard nodig. Die wist hij op een geraffineerde manier te ontfutselen bij de afdeling ondersteuning van Amazon. Eerst belde hij Amazon met de mededeling dat hij een nieuwe creditcard aan zijn account wilde toevoegen. Vervolgens belde hij opnieuw, met de mededeling dat hij zijn accountinformatie was vergeten. Daarvoor moesten bepaalde persoonsgegevens worden overhandigd, waaronder adresgegevens en de laatste vier cijfers van de creditcard. Aangezien de aanvaller die creditcard zelf had toegevoegd en over de adresgegevens beschikte, kreeg hij toegang tot het Amazon-account van Honan. Wired zegt deze aanval met succes te hebben kunnen reproduceren.

Vervolgens kon hij in het Amazon-account de laatste vier cijfers van alle aangekoppelde creditcards bekijken, waaronder de creditcard van Honan zelf, die hij ook gebruikte voor zijn iCloud-account. Hierdoor beschikte de aanvaller over genoeg informatie om toegang te krijgen tot het iCloud-account: de accountnaam, de adresgegevens en de laatste vier cijfers van de creditcard. Aangezien het iCloud-account het reserve-emailadres voor zijn Gmail-account was, kon de aanvaller hiermee weer toegang krijgen tot het Gmail-account en daaraan gekoppelde accounts, zoals dat van Twitter.

In een reactie tegenover Wired geeft Apple aan dat 'de interne procedures niet volledig zijn opgevolgd'. Het bedrijf zegt toe deze procedures na te lopen om misbruik te voorkomen. Amazon heeft nog geen reactie gegeven.

Overigens legt Honan een deel van de schuld bij zichzelf. Hij zegt dat hij niet alle accounts aan elkaar had moeten koppelen, dat hij zelf backups had moeten maken en dat het inschakelen van two-factor authentication bij Gmail een hoop schade had voorkomen. Wired tekent echter aan dat het signalen heeft ontvangen dat andere gebruikers onlangs op dezelfde wijze slachtoffer van social engineering zijn geworden.

De gang van zaken roept vragen op over de manier waarop bedrijven gebruikers toegang geven tot accounts als ze bellen met de helpdesk. In het geval van de iCloud-aanval waren de gegevens niet bijster moeilijk te achterhalen. Adres en accountnaam liggen voor veel kennissen voor het oprapen en hoewel de laatste vier cijfers van de creditcard minder makkelijk te achterhalen zijn, is dat niet onmogelijk, zoals deze aanval aantoont. Wired geeft daarnaast het voorbeeld van een pizzabezorger die de creditcardgegevens van klanten kan zien.

Door Joost Schellevis

Redacteur

Feedback • 07-08-2012 10:55 57

07-08-2012 • 10:55

57

Lees meer

Dieven stelen tientallen miljoenen bij netwerkfabrikant via social engineering
Dieven stelen tientallen miljoenen bij netwerkfabrikant via social engineering Nieuws van 7 augustus 2015
Google voegt inloggen via usb-sleutel toe aan Chrome
Google voegt inloggen via usb-sleutel toe aan Chrome Nieuws van 21 oktober 2014
Nederland mag Russische verdachte van grootschalige hacks uitleveren
Nederland mag Russische verdachte van grootschalige hacks uitleveren Nieuws van 18 april 2014
Betere beveiliging Apple ID werkt niet in Nederland
Betere beveiliging Apple ID werkt niet in Nederland Nieuws van 22 maart 2013
Truc verschaft Nederlander toegang tot 20.000 Twitter-accounts
Truc verschaft Nederlander toegang tot 20.000 Twitter-accounts Nieuws van 13 december 2012
Amazon koopt eigen hoofdkantoor voor ruim 1 miljard dollar
Amazon koopt eigen hoofdkantoor voor ruim 1 miljard dollar Nieuws van 6 oktober 2012
Amazon past privacybeleid aan na social-engineeringaanval
Amazon past privacybeleid aan na social-engineeringaanval Nieuws van 8 augustus 2012
Aanvaller krijgt toegang tot iCloud-account via helpdesk Apple
Aanvaller krijgt toegang tot iCloud-account via helpdesk Apple Nieuws van 6 augustus 2012
Apple probeert tevergeefs hack in-app-aankopen te blokkeren
Apple probeert tevergeefs hack in-app-aankopen te blokkeren Nieuws van 16 juli 2012
Hack maakt in-app aankopen op iOS gratis
Hack maakt in-app aankopen op iOS gratis Nieuws van 13 juli 2012
Meer producten en artikelen
Privacy Amazon Apple Beveiliging

Reacties (57)

-Moderatie-faq
57
57
30
8
0
26
Wijzig sortering

Sorteer op:

Weergave:
LOTG 7 augustus 2012 11:40
In een reactie tegenover Wired geeft Apple aan dat 'de interne procedures niet volledig zijn opgevolgd'.
Lekker makkelijk je personeel de schuld geven, ik heb echter sterk het gevoel dat die precies de procedures gevolgd hebben.

De aanvaller had gewoon veel gegevens, en de meeste bedrijven gaan er van uit dat het dan wel allemaal goed zal zijn.

Een ander probleem is dat er waarschijnlijk geen melding word gemaakt van de eerste poging om een reset te doen. Als er dan een mail gestuurd word naar de eigenaar, zal dit misschien wat argwaan wekken.

Maar nee, je maakt je er met een smoes vanaf (ik moet de credit card zoeken ofzo) en je belt vervolgens terug om iemand anders aan de lijn te krijgen.

Ook vreemd dat je zomaar kunt bellen naar Amazon om een credit card toe te voegen, en nog vreemder dat die dan ook meteen geld als verificatie. Ik denk dat daar bij Amazon eens goed gekeken moet worden naar wat je allemaal mag aan de telefoon zonder verificatie.
StelioKontos @LOTG7 augustus 2012 12:19
De creditcard is niet het probleem van Amazon, Apple moet dat gewoon niet als verificatie gebruiken.
MaxxBass @LOTG7 augustus 2012 11:48
In USA is credit card gemeengoed, en men geeft vaker details door over de telefoon..
Maar dan zou het inderdaad niet als verificatie moeten worden gebruikt.. denk het dan niet nee.
Garyu @LOTG7 augustus 2012 12:11
Och, ik heb ook wel vaker creditcard-gegevens via de telefoon doorgegeven, bijvoorbeeld bij de spoorwegen om een internationale reis te boeken, of om een auto te huren. Die mensen bij de helpdesk gaan uit van tegoedertrouw dus daar hoef je niet erg je best voor te doen.

Verplaats je eens in de helpdesk-medewerker, er belt iemand op om een creditcard-nummer toe te voegen aan zijn account. Dat is toch alleen maar positief? En hoe zou je daar misbruik van kunnen maken? Het is immers een rekeningnummer die je gebruikt om bij Amazon te betalen, dus daar zijn ze bij amazon juist blij mee.

Het ingenieuze daaraan is vervolgens dat Amazon telefonisch het account kan resetten op basis van de informatie die de hacker net zelf gegeven heeft ,en daarmee de laatste vier cijfers van de echte account vrijgeeft, die weer als authenticatie bij Apple geaccepteerd worden. Dat laatste is natuurlijk ook niet goed, maar het trucje met het toevoegen van een creditcard account bij Apple had eventueel ook direct kunnen werken zonder tussenkomst van de Amazon helpdesk. Maar dat zullen we wel niet te weten krijgen.
pven 7 augustus 2012 11:01
Mooi om te lezen dat uit is gezocht waar het fout is gegaan.

Apple en Amazon halen hierdoor het nieuws, maar al die keren dat iemand er mee weg komt die halen het nieuws natuurlijk niet. Kijk eens om je heen, bel eens met je eigen helpdesk en kijk hoe ver je komt. Kevin Mittnick is er bekend door geworden. :)
TDeK
@pven7 augustus 2012 11:09
Dat is maar een deel van het probleem. Duidelijk is dat in de ene dienst een waarde gewoon getoond wordt (cc-nummer) terwijl deze bij de andere dienst als uniek en persoonlijk wordt bestempeld. De veiligheidsbarrière van de ene dienst wordt zo door de andere ongedaan gemaakt, met alle gevolgen van dien. Ook is het voor de bedrijven moeilijk te testen: binnen hun muren kloppen alle flows, echter worden de flows van andere bedrijven daarin vaak niet meegenomen. Iets wat wel wenselijk is zo blijkt (wellicht kan hier zelfs een standaard in gevonden worden die door alle grote bedrijven wordt overgenomen?).
BlaDeKke @TDeK7 augustus 2012 11:21
(wellicht kan hier zelfs een standaard in gevonden worden die door alle grote bedrijven wordt overgenomen?).
Het idee voor een standaard is hier wel op zijn plaats. Maar waarom enkel grote bedrijven? Overheden en KMO met een website / webshop mogen hier ook onder vallen. Zodra klantgegevens in contact komen met het internet...

Het nadeel van een standaard in beveiliging: Als daar een lekje in zit, dan is het een globaal probleem (zeker als dit opgelegd is)...
TDeK
@BlaDeKke7 augustus 2012 12:16
Het nadeel van een standaard in beveiliging: Als daar een lekje in zit, dan is het een globaal probleem (zeker als dit opgelegd is)...
Dat is geen probleem, want als iedereen het gebruikt wordt er ook door veel meer mensen naar gekeken. In de encryptiewereld is alles open en gebruikt iedereen dezelfde algoritmes en dat doet niet af aan de veiligheid; deze wordt juist eerder verhoogd door het grotere aantal peer-reviews wat op de code wordt losgelaten. Het is niet voor niets een credo in de security: 'Never create your own crypto: always pick an existing one'.
the-dark-force @TDeK7 augustus 2012 14:42
wat mij slimmer lijkt is een eigen variant van een bepaalde methode, dit houd ook de bruceforce scripts en reverse engineers een leuke tijd bezig ;)
TDeK
@the-dark-force7 augustus 2012 15:42
Nope, nooit doen, je gaat geheid fouten maken in zaken waar jij niet aan hebt gedacht, maar de makers van de bekende crypto libraries wel (voorbeeld: timing attacks).
Olaf van der Spek @TDeK7 augustus 2012 17:59
De veiligheidsbarrière van de ene dienst wordt zo door de andere ongedaan gemaakt, met alle gevolgen van dien.
Veiligheidsbarrière? Adresgegevens en creditcardnummers zijn helemaal geen geheime gegevens en mogen dus ook niet als zodanig gebruikt worden.
Khaine @pven7 augustus 2012 11:16
Zoals in het artikel staat heeft de hacker in kwestie in ruil voor het laten vallen van de aanklacht uitleg gegeven over hoe dit tot stand is gekomen.

Wel goed dat dit soort dingen tegen het licht worden gehouden! Blijkbaar zijn er ook tussen 2 bedrijven geen goede afspraken over wat er wel of niet "geheim" zou moeten zijn. Dat hele verhaal met die credit cards is natuurlijk te belachelijk voor woorden.

Ik heb zelf trouwens op een support afdeling gewerkt en je wilt niet weten hoeveel mensen ongevraagd al hun wachtwoord opgeven (ook "wild vreemden") zodat je dan even mee kunt kijken in op hun account.

Er is veel mis met de policies van de bedrijven en met die gemixte belangen van Apple en Amazon zie ik ook niet veel verbetering aan de horizon, maar vergeet ook niet dat mensen van nature een behulpzame rol willen spelen. Sociaal engineering blijft gevaarlijk, mitnick wist het al lang en breed in 2002 (http://www.bol.com/nl/p/t...ception/1001004001981570/) en we zijn nog altijd niet veel verder.
Verwijderd @Khaine7 augustus 2012 12:13
Dat mensen willen helpen is inderdaad een bepalende factor. Hoeveel mensen gaan dit verhaal echt lezen en weten waar het over gaat? De techhies zullen het allemaal lezen maar jan met de pet gaat het echt niet lezen en zich ook zeer boos gaan maken wanneer hij naar de helpdesk belt en ze daar moeilijk doen terwijl hij enkel maar een nieuw paswoord wil terwijl hij toch denkt te kunnen bewijzen wie hij is want hij kent zijn eigen adres toch ...

Ik denk dat het dan ook heel moeilijk gaat worden om striktere maatregelen toe te passen en ook nog eens klanten niet tegen het hoofd te stoten. Wie een probleem heeft is meestal niet echt vatbaar voor rede en wil enkel maar dat zijn probleem direct wordt opgelost.
Verwijderd @pven7 augustus 2012 11:55
De laatste vier cijfers van een cc worden niet als een veiligheids risico gezien en worden op veel rekeningen en orderbevestigingen afgedrukt zodat de consument kan controleren van welke CC er wordt geïncasseerd.

Dat apple juist die vier cijfers als identificatie gebruikt is niet slim en ook niet volgens de richtlijnen van de Payment Card Industry Data Security Standard.
StelioKontos @Verwijderd7 augustus 2012 12:08
Je slaat de spijker op de kop. Via minder belangrijke accounts of simpelweg openbare informatie op facebook is tegewoordig heel veel te achterhalen.
Er zijn genoeg mail accounts die nog steeds werken met een 'geheime vraag' waarvan het antwoord gewoon op facebook te vinden is. De fout ligt dan niet alleen bij de mail-service die dat soort beveiliging hanteerd, maar voornamelijk bij mensen die een geheime vraag niet serieus nemen.
In dit geval ligt het probleem dus niet bij amazon maar bij apple, die moet beter om gaan met de identificatie.

Wat je ook ziet bij bijv. Blizzard is de kopie van een ID gebruiken. In combinatie met CD-keys is dit nog redelijk veilig. Als iemands mail gehacked is kan het best dat er ergens een kopie te vinden is in een bijlage.

[Reactie gewijzigd door StelioKontos op 23 juli 2024 23:44]

.Johnny @pven7 augustus 2012 11:14
Ik vraag me wel een beetje af hoe erg dit nu is. Zeker aangezien iemand moet bellen met verschillende helpdesks om dit voor elkaar te krijgen; ja, natuurlijk is dit irritant als jou het overkomt, maar ik betwijfel of striktere regels wel een goede oplossing zijn.

Als dit het toegang krijgen tot je eigen account in de problemen brengt, is het misschien gewoon een acceptabel offer. Net als dat we het verkeer 100% veilig kunnen maken door niet meer op pad te gaan, of maximum snelheid tot 10km/u te verlagen. Doen we ook niet, je maakt een afweging tussen factoren, zoals economische en veiligheid.

Hoe groot is de kans dat je hierdoor getroffen gaat worden? het is dus niet alsof dit een script hack is die massale accounts kan breken, je moet er echt wel moeite voor doen.
eXtReMeBiE @.Johnny7 augustus 2012 11:41
Je moet inderdaad een beetje moeite doen, maar vervolgens kun je voor vele duizenden euro's aan schade aanrichten, per slachtoffer. Vergeet niet dat door een paar helpdesk-telefoontjes de hacker toegang had tot adresgegevens, betalingen kon verrichten (gekoppelde creditcards), de toegang had tot privécommunicatie van het slachtoffer én de mogelijkheid om de digitale identiteit van deze persoon over te nemen (Twitter, GMail en Apple's clouddienst).

Wellicht is de kans dat je hiervan slachtoffer wordt niet groot, maar de impact die zo'n hack op je leven kan hebben is overweldigend.
Verwijderd @eXtReMeBiE7 augustus 2012 12:03
De schade is eigenlijk niet al te groot.
Belangrijke informatie wordt gebackupt, dat hou je niet alleen op een cloud platform en een gadget. Als je dat niet backupt is het hetzelfde als met die belangrijke info alleen in een papiertje door de wind lopen.
Credtitcards hebben mij nooit veilig geleken en eerlijk gezegd weet ik niet hoe veilig ze precies zijn. Ik weet dat ik, voordat ik met Paypal werk, eerst een scan doe naar evt. keyloggers. Of er bij gewone ccards nog iets van sms code bevestiging nodig is, zoals bij DigID, weet ik niet.
Als er dan helemaal geen beveiliging behalve een wachtwoord is op de creditcard, dan weet ik niet of dat systeem überhaupt wel zo handig is.

Dus, veel te verliezen lijkt het me niet. Ik heb zelf eens gekeken of ik nog op mijn Battle.net account kon komen na jaren en het wachtwoord te zijn vergeten. Zij vroegen me daar om een kopie van m'n ID kaart, wat volgens hen vervalst zou zijn.
Persoonlijk heb ik dan ook liever iets meer toegankelijkheid en behulpzaamheid dan veiligheid. Geen nood toe wanneer iemand binnengedrongen is.
Uniciteit @Verwijderd7 augustus 2012 12:32
De schade niet al te groot? Er zijn hier remote wipes uitgevoerd, waardoor hij 1,5 jaar aan informatie kwijt is - inclusief foto's van hoe zijn dochter opgroeide van baby tot bijna een peuter.

Daarnaast kan je, als je toegang hebt tot dat iCloud account, aankopen doen. Je kan Macs kopen die duizenden euro's kosten, en ook nog eens apps die honderden euro's kosten.

Daarnaast hadden de hackers ook nog de bankrekening leeg kunnen roven. Misschien heb je er niet veel opstaan, maar stel je voor dat je er tienduizenden, misschien wel honderdduizenden, dollars op hebt staan.

Ik vraag me af of je de schade nog steeds 'niet al te groot' vindt, als jij ooit slachtoffer hiervan wordt en je mail accounts en social media accounts zijn overgenomen (waarop onzin wordt verspreid - zoals dit geval), alle data van je apparaten worden verwijderd (niet iedereen heeft back-ups, ook al zou je denken van wel) en als er met jouw bankgegevens betalingen worden gedaan en als jouw bankrekening verder leeg wordt geroofd. Je kan daarnaast ook nog te maken krijgen met identiteitsdiefstal waar je nog arenlang last van kan hebben.

Uit een onderzoek uit 2005 bleek zelfs dat 28% van de slachtoffers van identiteitsdiefstal hun naam niet kunnen zuiveren - en dat was in een tijd waarin social media, zoals Twitter (wat nog niet eens bestond) en Facebook, veel minder populair waren..

Nee, het protocol mag wel wat strenger. Daarnaast mag er van mij ook two-factor authentication komen bij iCloud - zeker als er remote wipes kunnen worden uitgevoerd.

[Reactie gewijzigd door Uniciteit op 23 juli 2024 23:44]

tc982 @Uniciteit7 augustus 2012 17:24
Nog beter, hij had backups : in iCloud!

Al zijn werk en foto's stonden daar in!, is hij allemaal kwijt.
thefox154 @tc9827 augustus 2012 17:37
Tja apple vertrouwen met al je data... No way!! Icloud is net als dropbox soms handig en thats it. Maar zeker als redacteur die mensen in zijn blad waarschijnlijk maandelijks zegt: maak back ups. Had hij veel beter moeten weten.
Tokkes @Uniciteit7 augustus 2012 23:13
-Neen, niet iedereen heeft back-ups... Maar dat heb je toch helemaal zelf in de hand. Je zet toch ook zelf het alarm op voor je gaat slapen/werken? Deuren op slot als je thuis als laatste vertrekt?

Dan is het niet meer als normaal dat je als gebruiker van zo'n elektronica gebruik maakt van back-ups. Anders zal de informatie wel zo belangrijk niet zijn. Geen medelijden mee hebben, mogelijkheden legio en als ze het dan nog vertikken, is het hun probleem.
Olaf van der Spek @Verwijderd7 augustus 2012 18:02
Ik weet dat ik, voordat ik met Paypal werk, eerst een scan doe naar evt. keyloggers.
Wat goed zeg! |:(
Een goede keylogger vind je niet met zo'n scan.
Snap niet dat je de gevolgen zo even bagatelliseert.
Malarky @.Johnny7 augustus 2012 13:03
Ja, makkelijk praten als geen hoge/belangrijke/bekende positie in deze maatschappij hebt. Als je dat wel hebt is de pakkans veel groter.
Auredium 7 augustus 2012 11:12
Tja, Social engineering is de hack van oude tijden. Je kon jezelf ook gemakkelijk een Romijns legerkamp in praten als je maar geloofwaardig genoeg over kwam gok ik.

Ik herinner mij nog een Phreaker die de telefoonlijnen hackte en zo uiteindelijk tot aan de assistent van de destijdige Amerikaanse president wist te komen en daar pas faalde (omdat zijn social engineering skill niet groot genoeg was. :P )

Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
taiki @Auredium7 augustus 2012 12:18
Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
Dat is ook zo, maar er speelt nog meer mee. Ik heb zelf ruime ervaring met helpdeskwerk bij allerlei verschillende soorten bedrijven en ik kom vrijwel altijd tegen dat je als medewerker een set targets krijgt opgelegd die niet te halen zijn omdat ze tegenstrijdig zijn. Veel voorkomende zijn:

1)Je gesprekken mogen x aantal seconden/minuten duren of je moet een bepaald aantal calls per uur verwerken
2)We bellen een percentage van de klanten uit die je gesproken hebt of sturen ze een sms met de vraag om feedback. Het aantal positieve reacties moet boven een ondergrens liggen.
3)Het percentage klanten dat terugbelt na jou gesproken te hebben moet onder een bepaalde bovengrens zitten.
4)Nu je de klant toch aan de lijn hebt, smeer hem gelijk even een upgrade of een andere dienst aan. Percentage sales moet boven een ondergrens zijn.

Dus de klant moet zo vriendelijk mogelijk geholpen zijn, op een manier waarbij hij de komende week in ieder geval niet meer terugbelt en het liefst gelijk zijn dienstenpakket heeft uitgebreid, en dit alles zo snel mogelijk. Herhaal dit 50 keer op een dag. Vrijwel de hele callcentersector werkt met medewerkers op uitzendbasis, dus je kan je geen slechte periode permitteren want ze nemen zo afscheid van je, in een facilitair callcenter is dat nog eens een factor 10 groter, want ze worden betaald om calls zo snel mogelijk af te handelen, is het callcenter te langzaam->boete van de opdrachtgever.

Die druk leidt er vooral bij nieuwe, onervaren medewerkers toe dat de regels nogal eens opzij worden geschoven. Krijgt een klant zijn zin niet, in dit geval geen informatie, en blijft deze klagen en zeuren aan de telefoon, en loopt de secondenteller op, en zit je op dagbasis al niet zo goed met je targets, dan word je vaak wat makkelijker. Je kan ook de hoorn erop gooien en dan zie je dat weer terug bij punt 2. Het zou me dan ook niet verbazen als het soort situaties als genoemd in dit artikel veel vaker voorkomt. Alleen is deze man een van de weinigen die in de gelegenheid is om het publiek te maken.

Frappant is overigens dat mensen met betrekking tot hun privacy en privegegevens altijd zoveel mogelijk zekerheid willen met zo weinig mogelijk moeite en inzet van hun kant daar tegenover. Een gemiddelde helpdesk in Nederland vraagt je vaak ter verificatie om je postcode, huisnummer en misschien geboortedatum, welke natuurlijk zo op te zoeken zijn en dus geen adequate beveiliging vormen, maar het zou je verbazen hoeveel mensen daarom al zuchten, gevolgd door het sarcastische "moet je mijn bank pin ook hebben?". Maar als hun gegevens vervolgens op straat liggen.. ;)
hiostu @Auredium7 augustus 2012 11:18
Ik gok erop dat het voornamelijk komt omdat beveiligingsprocedures veel stappen bevatten en omdat het saai is worden ze opd autoamtisch piloot gedaan door personeel.
Niet alleen dat, maar vaak moet het personeel tegelijkertijd ook nog klantvriendelijk en behulpzaam zijn. En dat wil elkaar nog wel eens bijten ;) . Vaak worden ze ook weer afgerekend op het aantal succesvol afgehandelde telefoontjes.
arjankoole
7 augustus 2012 11:02
Sodeknetter, dat is best een intressante social engineering hack. Zelf een CC toevoegen kan blijkbaar heel makkelijk soms, en dan kun je een eind komen.
Orion84 Admin General Chat / Wonen & Mobiliteit @arjankoole7 augustus 2012 11:08
Dat is inderdaad het meest interessante aan dit verhaal.

Dat die security questions een risico zijn is natuurlijk niets nieuws. Maar dat je zonder grondige validatie dus blijkbaar het antwoord op een security vraag kan aanpassen (door CC toe te laten voegen) maakt het toch al niet briljante mechanisme natuurlijk compleet waardeloos.
Verwijderd @Orion847 augustus 2012 12:50
De fout is niet dat het makkelijk is een cc toe te voegen maar dat het toegevoegde cc nummer niet wordt gecontroleerd dat is de fout.
herbinator @Verwijderd7 augustus 2012 16:03
Nee de 'hacker' kon blijkbaar een CC toeovoegen an iemand anders zijn account. Dat is natuurlijk hele vreemd.
arjankoole
@Orion847 augustus 2012 11:29
Precies, je zou een creditcard alleen mogen toevoegen als je het oude nummer ook weet. Alleen dan hou je de challenge-response nog een klein beetje intakt.
DonChaot @arjankoole7 augustus 2012 11:39
eigenlijk is dat niet zo erg dat dat makkelijk kan. Er dient op dat moment natuurlijk wel een automatisch mailtje gestuurd te worden aan de accounteigenaar "Wij hebben dit en dat nummer aan uw account toegevoegd, klik hier als dat niet klopt"
Daarnaast zou er een belletje moeten gaan rinkelen als iemand probeert te verifiëren met een zojuist toegevoegd cc nummer. Een nieuw cc nummer zou bijvoorbeeld hier een week niet voor mogen worden gebruikt.
StelioKontos @DonChaot7 augustus 2012 12:13
Inactieve accounts vormen ook een serieus probleem als de beveiliging gelinked is. Een automatische mail is dan al waardeloos. Ook een week wachten is dan geen probleem.
II Stevow II 7 augustus 2012 11:22
Zeer jammer voor deze journalist, maar ik moet toch wel toegeven dat ik dit een knap staaltje werk vind van deze "hacker". Helaas jammer dat deze zijn punt weer moet maken met het wipen van de apparaten, een simpel leuk berichtje op twitter zou wellicht wat professioneler zijn geweest, maar blijkbaar had deze hacker het dus echt op hem gemunt.

Toch als je het zo leest, denk je niet meteen dat er grote blunders zijn gemaakt bij Apple en Amazon. Het enige wat er bij Amazon niet slim is gedaan is dat er zo makkelijk een creditcard toegevoegd kon worden, maar wie van de helpdesk staat er bij stil dat deze vervolgens gebruikt kan worden om account gegevens te achterhalen.

Een simpele implementatie van premaire & secundaire creditcard zou het probleem zo oplossen lijkt me. Waarbij de klant moet inloggen om deze om te wisselen.

Overigens zou Apple ook extra security kunnen toevoegen doormiddel van een bevestiging op een iphone / ipad / macbook zelf. Dit helpt natuurlijk alleen bij deze gevallen, maar dat scheelt al een hoop. Verificiatie via apparaten gaat nog altijd veel moeilijker dan simpel weg de laatste 4 cijfers van een creditcard, vooral in een land zoals Amerika waar een creditcard net zoveel wordt gebruikt als hier de pinpas.
Dipsausje @II Stevow II7 augustus 2012 12:14
Als Apple een extra bevestiging zou vragen bij Remote Wipe dan is de hele functie nutteloos. Het idee is dat als je iPhone / iPad / Mac gestolen / kwijt is is dat je deze kan legen zodat de dief / vinder niet meer bij je data kan komen. Als je op het device ook nog moet bevestigen gaat dat lastig worden.

Verder vind ik Amazon hierin ook wel erg slordig een account aanpassen terwijl je er niet in kan lijkt me niet de bedoeling.

En zoals hierboven al een keer genoemd. De verhuisservice van PostNL is nog de meest enge, het is veel te eenvoudig om iemand anders adres te wijzigen.

[Reactie gewijzigd door Dipsausje op 23 juli 2024 23:44]

Roland684 7 augustus 2012 11:38
Bizar slecht zijn vaak ook de 'verplichte vragen' die je moet beantwoorden zoor het geval je er ooit je wachtwoord mee wil terughalen. Ja mag dan kiezen tussen "wat was het merk van je eerste auto?", "wat was de naam van je basisschool?" of "wat was de naam van je favoriete huisdier?"
Vragen die je al niet kunt beantwoorden als je geen auto of huisdier hebt (gehad) en allemaal informatie die allerminst geheim of moeilijk te raden is. En dat zijn dan vragen waarmee je je wachtwoord kunt opvragen :r Die wil je gewoon niet beantwoorden.
Garyu @Roland6847 augustus 2012 12:06
Die beantwoord je dan ook met een onzin-antwoord, dat alleen jij weet :).

En dat schrijf je dan weer op een briefje omdat je het anders zelf ook niet meer weet, en dat briefje leg je naast je computer, voor het geval dat...
Robert 7 augustus 2012 11:04
Een heel mooi stukje social engineering. Dat Amazon op deze manier om de tuin is geleid is nog wel het meest schokkend voor mij, want die bieden onder dezelfde soort accounts ook hun bijvoorbeeld cloud diensten zoals EC2 aan die door veel grote bedrijven worden gebruikt. Toegang tot die accounts zou dus potentieel enorme schade/privacy incidenten kunnen veroorzaken.

[Reactie gewijzigd door Robert op 23 juli 2024 23:44]

Thrace Grumble 7 augustus 2012 11:08
Kwalijke zaak van Amazon: het is blijkbaar mogelijk om een nieuwe creditcard toe te voegen aan een account zonder enige vorm van goede authenticatie.
Verwijderd 7 augustus 2012 11:11
TNT Post.nl is wel de makkelijkste prooi als het om social engineering gaat.

Je verhuist gewoon alle post van iemand tijdelijk naar een ander (Bijlmer) adres, en gaat vervolgens allemaal zaken doen die het daglicht niet kunnen vertrouwen.
Spider.007 7 augustus 2012 11:13
Dit zinnetje vind ik wel wat raar
Hij had geen backup gemaakt van zijn apparaten.
Hij had volgens mij wel backups van deze apparaten, alleen stonden zijn backups.. op iCloud, en die is dus gewiped.

Dit lijkt me best significant voor dit verhaal, een backup-service met "wipe-original" klinkt namelijk niet als een heel goed idee ;)
StelioKontos @Spider.0077 augustus 2012 12:16
Dat viel me ook al op, wat is het nut van een back-up die gelinked is aan je account met een remote-wipe? Ik hoop dat dit mensen wakker schud. Een back-up moet volledig gescheiden zijn, ook geografisch en zeker 'softwarematig'.
PPie @Spider.0077 augustus 2012 12:23
De laptop was niet gebackupped via iCloud, alleen de iPhone en iPad.
Hij zal zijn iDevices wel terug kunnen restoren, maar zijn laptop waarschijnlijk niet...
Verwijderd @Spider.0077 augustus 2012 12:35
iCloud is geen alternatief voor back-up, op iCloud wordt niet alles opgeslagen. Enkel je in de app store aangekochte programma's, sommige documenten, je photostream (dus niet al je foto's maar de foto's van de laatste maand en daar zit ook een limiet op het aantal), reminders, notes, mail en je settings en dergelijke

Om je een voorbeeld te geven: ik heb op mijn hd 450GB aan data en op mijn iCloud heb ik net geen 5GB aan data staan. Veel van die data op iCloud komt dan zelfs nog van mijn iOS devices.

Een back-up doe je op een Mac via Timemachine. Dat gebeurt elk uur en gebeurt op een externe fysieke harde schijf bij je thuis.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 23:44]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq