Hackad via iCloud - fick iPhone, iPad och MacBook Air raderad

UPPDATERAD. Via Apples support lyckades en hackare kommer över iCloud-lösenordet för en annan person och genom det radera hans iPhone, iPad och MacBook Air samt komma åt hans Gmail och därigenom hacka hans Twitter-konto.

Mat Honans dag var som vilken vanlig dag som helst. Han lekte med sin dotter när hans iPhone plötsligt blev helt svart. Efter en stund startade den om och visade inställningsskärmen som helt nya telefoner har. Honan blev irriterad men inte bekymrad. Hans telefon säkerhetskopieras automatiskt till iCloud varje natt. Han fyllde i sitt login för iCloud för att återställa telefonen men det accepterades inte. Ännu mera irriterande men inte alarmerande.

Honan gick till sin MacBook Air för att återställa från en säkerhetskopia som han tagit nyligen till datorn. När han öppnade datorn meddelande iCal att informationen för Gmail-kontot var felaktig. Därefter blev skärmen grå och frågade efter en fyra siffrors PIN-kod. En kod som Honan inte hade.

Nu förstod Honan att något var på tok. Han gick ut i hallen och plockade upp sin iPad från väskan. Den hade också blivit nollställd. Varken hans telefon, iPad eller dator fungerade längre. Han lånade sin frus telefon och ringde till Apples support samtidigt som han försökte logga in på sitt Gmail-konto på hennes dator. Det gick dock inte, lösenordet hade ändrats. Det gick inte heller att återställa lösenordet, för det mejlet gick till Honans iCloud-konto som han inte kom åt längre, eftersom det lösenordet också ändrats.

En snabb koll på Twitter och Honan upptäckte att någon hade twittrat i hans namn. När han återigen försökte logga in på Gmail fick han ett meddelande om att hans Google-konto nu raderats. För att återställa det behövde han han ta emot ett SMS på sin telefon, som inte längre fungerande.

Apples support kunde inte stoppa återställningen av hans MacBook Air och inte ge honom någon PIN-kod att logga in i den under tiden. De kunde inte heller ge honom tillbaka accessen till telefonen. De kunde helt enkelt inte hjälpa honom alls.

Problemen slutade inte där. Efter ett tag ringde hans vän och redaktör på hans förra arbetsplats, teknikbloggen Gizmodo, och undrade om han visste vad som pågick. Gizmodos Twitter-konto hade nämligen blivit hackat, eftersom Honans Twitter-konto var kopplat till det. Tack vare en vän som jobbade på Twitter kunde Honan snabbt spärra kontot från att göra ytterligare skada.

Hur kunde det gå så illa?

Honan funderade på hur det kunde gå till. Hans lösenord för sitt Apple-ID, som används för iCloud, var sju tecken långt, blandade bokstäver och siffror. Ett lösenord som han inte använt någon annanstans. Han trodde först att det var någon som hade listat ut lösenordet via rå kraft ("brute force") genom att helt enkelt testa sig fram med massor av kombinationer. Det går dock inte att göra mot iCloud som i likhet med många andra tjänster spärrar kontot efter för många misslyckade försök till inloggning.

Det skulle senare visa sig att hackaren, som efter att detta blev känt kontaktade Honan, inte alls hade knäckt Honans lösenord. Hackaren behövde inte det, han hade nämligen fått ett nytt direkt från Apple. Hackaren hade använt sig av det som brukar kallas "social engineering". Genom att övertyga Apples support om att han var Honan hade han fått Apple att sätta ett nytt lösenord på Honans Apple-ID.

Med tillgång till Apple-ID:s lösenord kunde hackare sätta igång att ställa till med omfattande skada. Till att börja med kunde han begära nytt lösenord för Honans Gmail-konto eftersom det gick ett mejl iväg till iCloud då hans e-post hos iCloud var inställd som backup för lösenordsåterställning i Gmail. Och det mejl som gick iväg till Honan på Gmail om att lösenordet skulle återställas kastade hackaren omedelbart i papperskorgen så Honan aldrig hann se det. Med tillgång till Gmail kunde hackaren sedan få access till Honans Twitter-konto.

Än mera allvarligt var att hackaren genom iCloud nu kunde utföra "remote wipe", fjärrstyrd radering, av alla Apple-enheter som Honan kopplat till iCloud. Detta är en funktion som finns för att förhindra att till exempel en tjuv som stulit en iPhone, iPad eller Mac får tillgång till innehållet i den. Genom iCloud kan den bestulne radera enheten på ett säkert sätt. Funktionen har absolut ett värde, men det innebär också en risk. En risk som förmodligen inte alla iCloud-användare känner till.

Backup och säkrare e-post hade begränsat skadan

Honan hade inte kunnat hindra hackaren från att lura Apples supportpersonal, men han hade kunnat begränsa skadan genom två åtgärder:

1) Backup.

Det går inte att nog understryka hur viktigt det är att ta regelbunden backup. Honan hade dessvärre ingen backup av sin MacBook Air och förlorade nu mer än ett år av foton, epost, dokument etc. Apple jobbar på att försöka rädda data från hans dator, men det återstår att se om det lyckas.

Med OS X är backup så enkelt som att köpa en billig USB-hårddisk och koppla in den. Då frågar systemet om den ska användas för Time Machine. Svara ja på det och backupen är igång. Har du inte gjort det hittills är idag en utmärkt dag att börja!

Honan borde veta bättre än så med tanke på hans datorkunskaper, men han är inte den ende som syndar med backup.

2) Tvåstegsverifiering hos Gmail.

I vår artikel Sund lösenordshantering i OS X beskrivs mera ingående hur detta fungerar. I korthet går det ut på att koppla mobilen till Gmail så att det krävs tillgång till både lösenord och mobil för att kunna logga in. Det är omständligare, men betydligt säkrare. Eftersom access till e-post är nyckeln till att komma åt andra tjänster (som Twitter, Facebook etc) är det värt besväret.

Honan hade med dessa två åtgärder kunnat rädda mer data och slippa få Gmail raderat och Twitter hackat. Men skulden för att ge ut lösenordet till hackaren ligger hos Apple.

Det är förövrigt inte första gången Apples support givit någon annan person access, Marko Karppinen beskriver på sin blogg hur Apple 2008 skickade nytt lösenord till en annan e-postadress för ett Apple-ID helt enkelt därför att någon frågade efter det.

Mycket kopplat till Apple-ID

Att Apple redan idag inte erbjuder tvåstegsverifiering för iCloud är illa. Skadan som går att orsaka med access till en annan person Apple-ID är alldeles för stor för att det vara så pass enkelt att komma över informationen för en hackare. Förhoppningsvis lyfter denna tråkiga historia upp ämnet på allvar.

Ytterligare en sak som Apple-ID kan kopplas till är återställning av lösenordet till den användare som används i OS X, via Användare och grupper i Systeminställningar:

Med denna ruta ikryssad kan någon med tillgång till användarens Apple-ID även komma in i användarens konto på dator. Även detta en användbar funktion, men också en potentiellt farlig funktion.

Den här gången spelade lösenordet till Honans Apple-ID ingen roll, men användare av Apples produkter och tjänster bör se till att ha bra lösenord just eftersom så mycket är kopplat till ett Apple-ID. Problemet för många är dock att detta lösenord inte ska vara alltför omständligt att använda på en iPhone, då det måste uppges vid varje köp i App Store mm.

Uppdatering 7 augusti:

Mat Honan har nu publicerat en längre beskrivning av händelserna i en artikel i Wired. Bland annat beskriver han hur hackaren använde sig av Amazon också. Via Amazon fick hackaren tag i fyra siffror från Honans kreditkort och använde dessa som "bevis" för att han var Honan när han ringde Apples support.

Honan tar också upp två av punkterna som jag skrev om ovan i artikeln, nämligen att tvåstegverifiering i Gmail förmodligen hade räddat honom (hackarna var främst ute efter hans Twitter-konto) och att han givetvis borde haft backup så han inte förlorat alla bilder på hans dotters första år i livet.

Raderingen av hans iPhone, iPad och MacBook Air gjordes bara för att hindra Honan att snabbt få kontroll över sitt Twitter-konto igen, Honan skriver:

My MacBook data — including those irreplaceable pictures of my family, of my child’s first year and relatives who have now passed from this life — weren’t the target. Nor were the eight years of messages in my Gmail account. The target was always Twitter. My MacBook data was torched simply to prevent me from getting back in.

Hackaren hade inget personligt emot Honan. Skälet till att han blev måltavla var helt enkelt att han hade ett attraktivt användarnamn på Twitter, bara tre bokstäver. De ville åt kontot och ha kul med det. Allt annat var skador i stridens hetta, så att säga. Hackaren sa även att själva raderingen av Honans dator inte gjordes av honom själv utan hans partner som hjälpte honom, och att han hade försökt stoppa detta om han vetat om det.

Till Wired har en talesperson för Apple bekräftat att hackaren använt sig av uppgifter om kontoinnehavaren (Honan alltså) samtidigt som Apples personal inte fullt ut följt Apples interna policy.

I sin kontakt med Apples support har Honan fått det bekräftat att allting som behövs för att få tillgång till ett Apple-ID är att veta e-postadressen kopplad till kontot, ett kreditkortsnummer, hemadressen för kontot och de fyra sista siffrorna i det kreditkort som Apple har lagrat för kontot. Wired testade hackarens metod för ett annat Apple-ID och det fungerade.

Läs gärna hela artikeln i Wired för en detaljerad beskrivning om hur hackaren fick tag i informationen som behövdes, till exempel de fyra sista siffrorna i kreditkortsnumret från Amazon, och hur det hade kunnat gå ännu värre om hackaren varit ute efter mer än bara ha lite kul.