Mat Honan, ex empleado de Gizmodo cuya cuenta comprometida de Twitter llevó al secuestro temporal de la cuenta del blog de tecnología, reveló cómo los atacantes lograron realizar el acto, causando estragos de manera simultánea en varias de sus cuentas personales.
"Por espacio de una hora, toda mi vida digital fue destruida", compartió al narrar el suceso. "Primero se adueñaron de mi cuenta de Google y después la borraron. Después mi cuenta de Twitter fue comprometida y usada como una plataforma de difusión de mensajes racistas y homofóbicos. Lo peor de todo fue que mi cuenta de Apple fue también comprometida y los hackers la usaron para borrar remotamente toda la información de mi iPhone, iPad y MacBook".
Honan ha sido capaz de reconstruir los hechos debido a que uno de los hackers lo contactó vía Twitter y le dio algunas pistas acerca del porqué lo atacaron y los métodos que utilizaron.
Sorprendentemente, el robo de la cuenta de Twitter de Gizmodo no era el objetivo principal, esto sucedió después. Los atacantes estaban detrás de la cuenta de Honan, ya que les gustó el nombre de cuenta de tres caracteres (identificada como @mat). Irrumpir en su cuenta de iCloud fue solo un paso previo para obtener acceso a su cuenta de Twitter y finalmente el borrado remoto de sus dispositivos fue solo porque eran capaces de hacerlo y para que no pudiera realizar el proceso de recuperar acceso a sus cuentas.
Los atacantes no utilizaron fuerza bruta para obtener alguna de las cuentas. En su lugar, recurrieron a una serie de ataques de ingeniería social contra una gran variedad de servicios.
La cuenta de Twitter de Honan estaba vinculada a su sitio web personal, en donde también aparecía su dirección de correo electrónico de Gmail. Adivinando que utilizaba esa cuenta de correo para acceder a Twitter, encontraron una manera para poder entrar a su cuenta de Gmail y poder cambiar la contraseña de Twitter.
Desafortunadamente para él, no utilizaba el factor de doble autenticación para su cuenta de Google. Esto permitió a los atacantes poder saber cual era su dirección de correo electrónico alterna en caso de perder la cuenta. Google no mostraba la dirección completa pero con esto bastaba para que los atacantes se dieran cuenta que Honan contaba con una cuenta de AppleID.
Irrumpir en esa nueva cuenta fue muy fácil. Por medio de ingeniería social aplicada al servicio a clientes de Amazon y haciendo mal uso del proceso de añadir una nueva tarjeta de crédito a una cuenta, lograron asignarle una nueva tarjeta de crédito a la cuenta de Honan. Una vez que contaban con los 4 dígitos de la tarjeta de crédito y la dirección de facturación de Honan, pudieron obtener acceso a toda su cuenta y la información contenida en ella, además de los cuatro dígitos de la propia tarjeta de crédito del afectado.
La dirección de facturación y esos cuatro dígitos fueron utilizados para abrirse camino hacia la cuenta de iCloud y así poder evadir el proceso de contestar las preguntas de seguridad que Honan había registrado.
Ya que tenían el control de la cuenta de Gmail y de su cuenta de correo del servicio me.com, utilizaron el servicio de restablecimiento de contraseña de Gmail. Esto les permitió acceder al servicio y continuar ahora con la cuenta de Twitter.
Honan admitió que pudo haber establecido muchas medidas de seguridad para prevenir que todo esto ocurriera, principalmente el no haber "atado" todas sus cuentas, utilizar factor de doble autenticación para su cuenta de Gmail y el proceso de borrado de Find My Mac de Apple, además de respaldar regularmente el contenido de su MacBook. Él advierte de lo afortunado que fue, ya que dice, el daño pudo haber sido mucho peor.
A pesar de todo, Mat Honan dice estar molesto por todas las deficiencias de seguridad por parte del servicio a clientes de Apple y Amazon, las cuales permitieron que todo esto ocurriera.
"El soporte técnico de Apple les otorgó a los atacantes acceso a mi cuenta de iCloud. El soporte técnico de Amazon también les dio la capacidad de poder observar parte de mi información de tarjeta de crédito, los mismos que Apple utilizó para decidir revelar mi información. Es decir, los últimos cuatro dígitos que Amazon considera viables para mostrar, son los mismos cuatro que Apple solicita para poder determinar que esa era mi tarjeta de crédito", comenta Mat Honan.
"En este caso particular, la información del cliente fue comprometida por alguien que obtuvo acceso a información personal sobre el cliente. Además descubrimos que nuestras políticas internas no fueron seguidas al pie de la letra", explicó Natalie Kerris, vocera de Apple, quien ofreció una explicación oficial para el
New York Times. "Estamos revisando todos nuestros procesos de reestablecimiento de contraseñas y así asegurar que la información de nuestros clientes está protegida."
Debido a que Wired replicó de manera exitosa los ataques de ingeniería social sucedidos el pasado lunes contra Amazon y Apple, es de notarse que hay una falla en la implementación de los procesos internos de Apple.
