Hackad via iCloud - fick iPhone, iPad och MacBook Air raderad

Klantigt Apple (nollställa lösenord via telefon) och Honan (ingen backup).

Backup, backup, backup!

Oavsett vilka misstag han har gjort, skall lösenordet inte lämnas ut från Apple
Utgår från att något blev arbetslös på Apple

Apple lämnade inte ut något lösenord, de nollställde det. Ledde till samma sak, men en viss skillnad är det.

Som jag sade ledde det till samma sak, men det är skillnad på att nollställa ett lösenord och att ge ut ett lösenord. Personen ifråga kanske använder samma lösenord till helt andra, till Apple orelaterade, sidor, mailkonton etc. Det hade varit ännu värre.

Ja, hur skyddar man sig då? Spelar ju ingen roll hur svårt eller krångligt lösenord man har om man kan nollställa ett lösenord så.

Det är inte bara att ringa och be att få lösenordet nollställt. När du skapar din iCloud får du ett antal kontrollfrågor att svara på. Din morsas flicknamn, första husdjuret etc etc. Dessa frågor måste du kunna svara på när du vill ha ditt lösenord nollställt. Dessa frågor är samma för alla och det är inte direkt kvantfysik att kartlägga vem som helst så man kan ta reda på svaren. Det bästa här är att välja ett custom-alternativ så att det kommer upp en fråga som rimligen endast du själv vet och kan ta reda på svaret på.

Fast här "slapp" man det
"They got in via Apple tech support and some clever social engineering that let them bypass security questions."

Social Engineering innebär just att du snokar reda på svaren på frågorna.

Får backa lite här. Jag har trott att fenomenet innebär att man tar reda på så mycket om en person i förväg att man trovärdigt kan utge sig för att vara densamma och övertyga motparten om att man är den man säger. Begreppet "social engineering" tycks inte förutsätta att man faktiskt vet något om den man utger sig för att vara.

Saxat från Wikipedia: "Social engineering, in the context of security, is understood to mean the art of manipulating people into performing actions or divulging confidential information. While it is similar to a confidence trick or simple fraud, it is typically trickery or deception for the purpose of information gathering, fraud, or computer system access; in most cases the attacker never comes face-to-face with the victims.
"Social engineering" as an act of psychological manipulation had previously been associated with the social sciences, but its usage has caught on among computer professionals."

Detta är ett klassiskt exempel på att användarvänlighet≠säkerhet.
För att inte för all framtid låsa information pga av förlorat lösenord erbjuder Apple möjligheten att nollställa lösenordet, efter att ställa vissa kontrollfrågor för att vara rimligt säkra på att personen i telefon är den han utger sig från att vara. Antingen kunde man låta bli att erbjuda sådan hjälp med konsekvensen att många som glömt sin inloggningsfunktion skulle bli blåsta på sin data, eller så kunde man erbjudit tvåstegsverifiering så som artikeln föreslår. Båda alternativen erbjuder högre säkerhet och mindre användarvänlighet.

Och att inte ha backup borde idag sortera under kriminell dumhet.

Förvånad, nej
För något år sedan hade någon av idg:s tidningar med "återfå inloggning" i sin webbhotellstest. Det var ett antal som med lite "lirkande" lämnade ut/återställde inloggningsuppgifterna utan att de kunde vara säkra på att det var rätt innehavare de hade på tråden. Jag är övertygad om att med tillräckligt smort munläder och fräckhet, ev kombinerat med lite urkundsförfalskning så går det nog också att få Googles att släppa på sin mobilverifikation.

Tråkigt för Honan som drabbades men jag skulle tro att han kommer att kompenseras ordentligt och förhoppningsvis blir det inte allt för många viktiga filer som är borta för alltid.

Jag är mest nyfiken på den som gjort det. Vad var syftet? Knappast bara att sabotera för då hade personen väl inte tagit kontakt och därmed riskera att blir spårad - även om man är skicklig på att dölja sig så finns de alltid en risk för upptäckt. En person som visste att detta var möjligt? Som har försökt varna tidigare men inte blivit hörd? Som själv blivit drabbad men som man inte trott på?

Man kanske även kan önska sig bättre "standardfrågor". Svaret till de som finns (eller fanns när jag registrerade mitt Apple ID) är i många fall till och med googlingsbara. Att man inte kan svara direkt? Tja, uppkopplingen bröts

Vilken tur att man inte använder iCloud....

Förstår hur du tänker, men personligen känner jag inte att jag har något att dölja i min kontakt lista, kalender, photostream eller anteckningar. Därför är iCloud ett suveränt redskap för att synka mellan tex min Macbook och Iphone.
Men därifrån till att någon annan kan radera hela ens dator och komma över annan information som inte går över iCloud är en helt annan sak.

Jag tycker inte din hållning håller riktigt för du är väl ingen digital ö utan förbindelser med omvärlden? Du ingår i nätverk?

Är alla du har i adressboken oövervinneliga för attacker av det här slaget eller andra? Det verkar inte särskilt troligt. Här vill man anta att du har invigt alla dessa kontakter, eller de du i övrigt har information om, i din hållning att du inte har något att dölja. Men det tror jag inte du haft en tanke på. Det är ju bara en adressbok. Vad skulle kunna hända?

Trots allt så var det bara en epostadress, en hemadress och de 4 sista av ett VISA-kortnummer som behövdes senast måndag när tidningen Wired gjorde om det hela på ett annat konto. Jag antar att du har i alla fall de 2 förstnämnda informationsbitarna på en del av dina kontakter? Adressen kan man i de flesta fall förstås fixa lätt, särskilt om hela namnet finns med eller framgår av epostadressen, vilket är vanligt.

Det är uppenbart att Apple och Amazon och kanske många fler tjänsteföretag måste tänka om på den här punkten. För att inte tala om Macanvändarna.

Läsvärt ang. "jag har inget att dölja".
Why Privacy Matters

Antar att flesta personer använder mobiltelefoner? Malte Spitz: Your phone company is watching | Video on TED.com

Sevärt och läsvärt.

Men du har ett iTunes-konto, same same.

Någon är verkligen sne på Honan :-D. Detta är något personligt - ingen slumphack.

Hmmm. Det här får en att tänka till. Man får nog se över ett och annat. Ett vettigt tankesätt tycks vara att "utgå från att vem som helst när som helst kan komma åt all information som du lägger ut på internet". Inklusive kreditkortsnummer, användarnamn och lösenord.

Svagheten tycks vara att ha sina epostkonton länkade till varandra, så som Honan hade sitt iCloud-konto som sekundärt konto till sin Gmail.

En liten bisak i sammanhanget, men ett säkerhetstips, är att jag numera har ett vanligt bankkort som jag enbart använder till kontantuttag. Till alla andra transaktioner använder jag ett kreditkort utan koppling till mina bankkonton. På det viset kan ingen länsa mitt konto om mitt kort kapas. Till mitt vanliga bankkort har jag ett separat bankkonto med bara ett par tusenlappar på.

Själv har jag ett kreditkort där uttagen är kopplade till samma konto som mitt bankkort där jag endast har några tusen. Mycket smidigt.

Så det var så lätt! Här kan man sitta och hitta på långa komplicerade lösenord och kluriga frågor som sedan inte spelar någon roll.

Känns lite bra att få veta varför kontot togs över - det gör "världen" lite begripligare. När det gäller raderandet så är jag inte förvånad. Även om det inte var meningen så följer det väl annat vi vet om maktberusning.

Jag har nog tänkt som pmarriott att allt man lägger ut/upp kan andra komma åt men jag har inte tänkt på att det även inkluderar att det raderas. De domäner jag har på webbhotell är det mindre problem med - där kan materialet läggas tillbaka gratis eller för ett par hundra. Där vi använder gmail är det uppenbarligen mer problem - här får vi nog tänka till

Dags att köpa ytterligare en hårddisk för det vi backuppar i molnet - smidigt men det krävs nog en lokal disk om man ska vara säker. De grå molnen som börjar torna upp sig kanske gör att eftermiddagen kan ägnas till att gå igenom hur konton är kopplade till varandra istället för bad.

Absolut, en upplysning som gör att jag/man vaknar till. Det är bra att Mat Honan går ut med hela historien.

En extra back-up lokalt känns som en billig försäkring.