Attenzione ad iCloud

[kimj1]

Qualche giorno fa, dei cracker sono penetrati nell'account iCloud di un ex giornalista di Gizmondo. Una volta fatto questo, hanno effettuato un remote wipe di iPhone, iPad e MacBook Air. Lui, che si affidava ad iCloud, non aveva backup più recenti di un anno.

Non basta. Hanno anche eliminato il suo account gmail, non prima di sfruttarlo per prendere possesso del suo account Twitter e di quello di Gizmondo stessa.

Qui la versione dei fatti spiegata dalla vittima: http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard

Vi è però una imprecisione: lui crede che gli attaccanti abbiano effettuato un brute force sulla sua password, di 7 caratteri (in effetti le mie sono di almeno 15-16 caratteri, quando le uso per servizi importanti, e sono random.)

In verità, si è trattato, come spiega Forbes qui, di un semplice ed al tempo stesso spaventoso attacco basato sul social engineering. Il cracker ha chiamato il supporto tecnico Apple chiedendo la password dell'account della vittima, e questo, senza verificare effettivamente l'identità dell'interlocutore, tratto in inganno ed impietosito, ha fornito al cracker la password dell'utente...

IMHO è qualcosa di davvero grave, che una grande compagnia come Apple si faccia fregare con questi metodi noti dai tempi di Mitnick. Almeno lui mirava ai dati delle aziende, non a danneggiare i loro clienti. Citando un suo tweet:

I think Apple employees should take my new security awareness training course http://www.knowbe4.com!

[nemo76_99]

UIUIUIUIUIUIUIUIU

Forse forse il Cloud (in senso generale) non è ancora abbastanza sicuro...

[Dream]

Affidarsi solo ai servizi Cloud per i backup è da folli, sopratutto se ci sono files di lavoro...

Oltretutto rendere possibile il wipe di tutti i dispositivi senza ulteriori conferme doppie/incrociate è veramente poco sicuro...