Matt Cutts de Google invite les utilisateurs à adopter l'authentification 2-étape lendemain de l'incident de «piratage Epic '
Il est pas tous les jours que le courrier électronique et de réseautage social les comptes d'un journaliste de la technologie sont piratés. Après tout, nous nous attendons à ces gens d'être plus avertis technologiquement que le reste des mortels. Mais même avec des mots de passe sécurisés, les pirates peuvent toujours trouver des moyens ingénieux de courir attaques d'ingénierie sociale. Et il peut parfois impliquer le département de service à la clientèle de votre fournisseur de service préféré.
Mat Honan, qui écrit pour Wired, détaille comment sa "vie numérique" avait été anéantie par un pirate qui voulait défigurer sonmat compte Twitter.
En l'espace d'une heure, toute ma vie numérique a été détruite. Première a été prise sur mon compte Google, puis supprimé. Suivant mon compte Twitter a été compromise, et utilisé comme une plate-forme pour diffuser des messages racistes et homophobes. Et le pire de tout, mon compte AppleID a été cambriolé, et mes pirates utilisaient pour effacer à distance toutes les données sur mon iPhone, iPad et MacBook.
Comptes chaînés
Le pirate exploité le fait que les comptes Gmail, Apple ID, Twitter et Amazon de Honan étaient enchaînés ensemble en utilisant un mélange de courriels passe de récupération, informations de carte de crédit et même l'utilisation de la même ID utilisateur (le préfixe qui vient avant le signe @ signer dans votre adresse e-mail).
Le pirate, qui va par le nom "Phobia" était en mesure d'obtenir les quatre derniers chiffres du numéro de carte de crédit de Honan d'Amazon. Bien que ce soit inoffensive en soi, ces chiffres mêmes sont ce que Apple utilise pour vérifier l'identité de l'utilisateur pour la récupération de mot de passe, et la phobie était en mesure d'accéder à Apple ID Honan.
Phobie était alors en mesure de casser le compte Gmail de Honan, puis Twitter. Le pirate alors effacé l'mat compte Twitter avec des messages homophobes et racistes. Ce fut l'exploit, et dans une conversation, le pirate a admis que le wipe-out à distance des iPhone, iPad et MacBook de Honan étaient juste des dommages collatéraux.
Le fait que les dispositifs de Honan ont été anéantis à distance ajouté blessures à l'insulte, car il a dit qu'il avait des années de photos stockées dans ces appareils qui ne pouvait plus être récupérés. Il n'y avait pas d'autres sauvegardes, sauf pour iCloud.
Utilisation de la vérification en deux étapes
Honan croit maintenant que «les systèmes basés sur le cloud doivent fondamentalement différentes mesures de sécurité." Avec les informations de l'utilisateur se déplaçant de plus en plus vers le cloud, les fournisseurs de services devront améliorer la façon dont ils vérifient l'identité. En fait, tous les fournisseurs de l'écosystème de cloud devraient coordonner leurs efforts en matière de sécurité. Avec les comptes d'utilisateurs étant connectés entre les différents services, les pirates informatiques peuvent facilement trouver des failles et de les exploiter pour accéder sans autorisation.
Matt Cutts de Google a souligné que l'utilisation de la vérification en deux étapes peut fournir une couche supplémentaire de sécurité. Parce que la vérification en deux étapes nécessite quelque chose que vous savez (votre mot de passe) et quelque chose que vous avez (votre téléphone mobile), les pirates sont moins susceptibles d'être en mesure de briser.
Voici une vidéo de présentation pour la vérification à deux facteurs que le Matt Cutts a publié sur son blog.
Fixation de la violation
Apple a déclaré que leurs propres politiques internes ne sont pas suivies complètement. Comme de l'écriture, cependant, à la fois Apple et Amazon ont tranquillement changé leurs politiques de sécurité pour empêcher une effraction similaire ne se produise. Amazon interdit désormais ajouter des informations de carte de crédit au téléphone. De même, Apple ne donne plus les mots de passe temporaires de la même façon.
Pourtant, cela met en évidence la question sous-jacente dans le cloud computing. Notre information utilisateur se déplace de plus en plus vers le nuage, et nous sommes de plus en plus dépendante des politiques de sécurité de nos fournisseurs de services. Mais avec de plus en plus de détails - et les fichiers personnels - sur l'Internet, il est également plus facile pour les gens avec l'intention malveillante de causer des dommages, même sans notre intervention.
Mot de conseils: les mots de passe utilisateur plus sûres, utilisent différents mots de passe sur les services, et permettent la vérification en deux étapes.