Anatomía de un hack

Mat Honan, uno de los editores de la revista Wired se convirtió en víctima de un ataque cibernético que causó que perdiera acceso a sus cuentas de iCloud, Twitter, Amazon, Gmail entre otras. El disco duro de la Mac y toda la información en el iPhone de Mat fueron destruidos completamente.

En un extenso artículo en la revista Wired, Mat describió el proceso mediante el cual el hacker obtuvo acceso ilimitado a  sus cuentas. El proceso fue exitoso gracias a una combinación de faltas de seguridad tanto de Amazon como de Apple.

Con solo la dirección de correo, y el email de la victima, (ambas fácilmente disponibles en la internet), el hacker obtuvo la información necesaria para comenzar su ataque. Lo primero que hizo fue contactar Amazon por teléfono y pedir agregar una tarjeta de crédito a la cuenta. Amazon solo pide la dirección postal y el email del dueño de la cuenta y como el hacker tenía ya esta información, pudo agregar un número de tarjeta de crédito falsa. El siguiente paso fue contactar de nuevo a Amazon y decir que había perdido la contraseña de la cuenta. Esta vez Amazon le pidió al hacker la dirección de email, la dirección postal y el número de tarjeta de crédito asociada con la cuenta. El hacker simplemente repitió los mismos números asociado con la tarjeta de crédito falsa que anteriormente había agregado a la cuenta. Durante este proceso, Amazon te permite agregar una nueva dirección de email a la cuenta, y el hacker solo tuvo que usar una nueva cuenta de email bajo su control.

Amazon envía el enlace para reiniciar la contraseña a la nueva dirección de email, y el hacker solo tuvo que crear una nueva contraseña para tener acceso  completo a la cuenta de Amazon de Mat. Una vez en la cuenta de Amazon, el hacker pudo ver los 4 últimos dígitos de la verdadera tarjeta de crédito que Mat tenía guardada en su cuenta de Amazon (la misma que tenía asociada a su cuenta de iCloud). Era todo lo que el hacker necesitaba para comenzar su ataque en iCloud.

Armado con los 4 dígitos de la tarjeta de crédito de Mat, el hacker llamó a AppleCare alegando que había perdido su contraseña de iCloud. Apple simplemente le dio una contraseña temporal que permitió al hacker tener acceso a iCloud.

Desde iCloud, el hacker envió un comando para borrar toda la información del iPhone y la Mac de Mat. La cuenta de @me.com era usada por Mat como una segunda cuenta de email para rescatar la contraseña de Gmail, que a su vez era usada para la cuenta de Twitter.

En cuestión de 4 horas, Mat perdió su vida digital, y el hacker asumió su identidad.

Tanto Apple como Amazon han recibido una lluvia de criticas por tener un sistema de seguridad tan fácil de circunnavegar. Ambas compañías han dicho que están revisando su protocolo y por el momento han desactivado el sistema que permitió al hacker adueñarse de las cuenta de Mat.

Si leen inglés, les recomiendo que lean el articulo completo de Mat, donde cuenta toda la historia de su odisea.

Tags: amazon, Apple, hacker, icloud, Mat Honan, seguridad, Wired