Mat Honan の件 - hidemonのブログ

さんざんあちこちで書かれているけど、備忘録としてまとめておく。
ソースはこちら。

何が起きたのか

もとGIZMODEでWiredに移った人気ブロガー？のMat Honanのさまざまなアカウントがハックされ、Twitter に彼のアカウントでひどいTweetが投稿された。それだけでなく iPhone, iPad, Macbookの類がすべて消去された。犯人の目的はTweetで、消去は目的ではなかったと思われる。

どこからどうなったのか

住所を取得

運用しているサイトのドメインのWHOISから入手

Amazon からクレジットカードの下4桁を取得

まず、犯人はAmazon に電話し、新しいクレジットカードを登録する。これには住所を用いる。
一度電話を切り、再度Amazonに電話し、新しいクレジット番号と住所を使ってアカウントをリセット。ログイン権を得る。ログインすると、本来用いていたクレジットカードの「下4桁」が表示される。

.me アカウント奪取

Appleに電話し、住所とクレジットカードの下4桁で認証させ、.me アカウントをリセットさせて奪取。.me アカウントはApple IDなので、これで iCloudの権限を奪取。iPhone, iPad, Macbook を盗難時の remote wipe機能を用いて消去。

Google アカウント奪取

.me アカウントがGmailのセカンダリアドレスになっていたので、パスワードをリセットで新規パスワードをセカンダリに送らせることでGoogleアカウントを奪取

Twitterアカウント奪取

あとは、パスワードリセットすればテンポラリパスワードがGoogle アカウントに送られてくるのでやりほうだい。

問題はなにか？

本質的にはセカンダリアドレスを登録しておいたことが、セキュリティホールになっている。複数の侵入手段があるので、最も弱いところが全体の強度になってしまうわけだ。

複数のアカウントが連携していると、同様に最も弱いリンクから芋づる式になる。

そもそも、クレジットカードの番号の扱いに関するコンセンサスが無いというのも問題。下4桁だけを表示しないところもあれば、下4桁だけを表示する場合もある。あわせると復元できてしまうし。。。

所感

家族写真が全部消えてしまった、というのには戦慄を禁じ得ない。。クラウドにおける認証のあり方を考えてしまう。まあ、そもそもクレジットカードそのものが、重要性のわりにはあまりにずさんな仕掛けだよなあ。。