c****o
发帖数: 681 | 1 【 以下文字转载自 PDA 讨论区 】
发信人: comodo (cmd), 信区: PDA
标 题: Re: 提醒更新一个贵和便宜的概念
发信站: BBS 未名空间站 (Fri Aug 24 12:27:37 2012, 美东)
受害人Mat Honan的icloud密码被重置,又不是因为iphone有安全问题。
hack的过程你引的wired原文里头其实说得明白,我现在不厌其烦用中文总结一下,方
便一些同学理解。
1)hacker在twitter上看到Honan公开的gmail地址。
2)gmail的密码重置网页泄露了Honan的alternate email地址,刚好是他的@me地址,
很容易猜到是他的appleID。当然,google隐去了email用户名中间的字符,但是显示了
第一个和最后一个字符,由此很容易猜出整个用户名。事件发生后,google认识到自己
的错误,已经修改了这个网页,现在用户名只显示第一个字符了。
3)hacker用whois找到了Honan注册的域名和账单地址。
4)hacker打amazon的客服电话,使用姓名、email地址和账单地址,要求添加新信用卡
号(卡号是假的,算出来的)。
5)amazon新信用卡号加好后,就可以再打amazon客服,用这个(假的)新卡号,要求
重置amazon密码。
6)进入amazon账户页,可以看到用户真信用卡卡号的最后4位。
7)打apple客服,用以上获取的个人信息,要求重置icloud密码。
8)进入icloud,发出remotely wipe iphone/ipad/mac的指令。
可以看出,在这整个过程中,google,amazon都扮演了不光彩的角色,泄露了关键的用
户个人隐私。apple当然也有问题,客服重置密码需要的个人信息不够多。
这个故事告诉我们,保护自己的隐私,是多么地重要。各位同学在高高兴兴地拿隐私换
google的“免费”服务的同时,不妨多一点思考。 |
b******n
发帖数: 823 | 2 引发最严重后果的apple是"也有问题",
打酱油的google和amazon是"扮演了不光彩的角色",
看你这屁股坐的
【在 c****o 的大作中提到】
: 【 以下文字转载自 PDA 讨论区 】
: 发信人: comodo (cmd), 信区: PDA
: 标 题: Re: 提醒更新一个贵和便宜的概念
: 发信站: BBS 未名空间站 (Fri Aug 24 12:27:37 2012, 美东)
: 受害人Mat Honan的icloud密码被重置,又不是因为iphone有安全问题。
: hack的过程你引的wired原文里头其实说得明白,我现在不厌其烦用中文总结一下,方
: 便一些同学理解。
: 1)hacker在twitter上看到Honan公开的gmail地址。
: 2)gmail的密码重置网页泄露了Honan的alternate email地址,刚好是他的@me地址,
: 很容易猜到是他的appleID。当然,google隐去了email用户名中间的字符,但是显示了
|
c****o
发帖数: 681 | 3 整个链条,缺少任何一环都不行。
我觉得,问题最大的是amazon,就是通过amazon,hacker才成功地把假信用卡号变成了
真卡号。hacker为什么没有直接拿假卡号骗apple呢?因为他知道骗不过。
而且,你好像除了屁股之外,没说出什么道理。
【在 b******n 的大作中提到】
: 引发最严重后果的apple是"也有问题",
: 打酱油的google和amazon是"扮演了不光彩的角色",
: 看你这屁股坐的
|
b******n
发帖数: 823 | 4 从整个过程看,
amazon需要全部信用卡号才能reset密码,apple只要4位,
居然apple从你这里得到的批评只是"也有问题" |
b******n
发帖数: 823 | 5 我又不是和你辩驳道理,只是说你屁股决定脑袋
apple只要4位信用卡尾号就可以reset密码,简直就是笑话
而且你说了这么大一堆,得出来的结论是使用google免费服务是拿隐私换取的,
这有因果关系吗?
【在 c****o 的大作中提到】
: 整个链条,缺少任何一环都不行。
: 我觉得,问题最大的是amazon,就是通过amazon,hacker才成功地把假信用卡号变成了
: 真卡号。hacker为什么没有直接拿假卡号骗apple呢?因为他知道骗不过。
: 而且,你好像除了屁股之外,没说出什么道理。
|
c****o
发帖数: 681 | 6 说的好像你的屁股和脑袋可以分家似的。上一张照片给看看吧。
amazon只要假号就可以重置密码,那是什么?
【在 b******n 的大作中提到】
: 我又不是和你辩驳道理,只是说你屁股决定脑袋
: apple只要4位信用卡尾号就可以reset密码,简直就是笑话
: 而且你说了这么大一堆,得出来的结论是使用google免费服务是拿隐私换取的,
: 这有因果关系吗?
|
b******n
发帖数: 823 | 7 你要是只会literally的理解句子,还是不要发文了吧,暴露智商
【在 c****o 的大作中提到】
: 说的好像你的屁股和脑袋可以分家似的。上一张照片给看看吧。
: amazon只要假号就可以重置密码,那是什么?
|
L*****e
发帖数: 8347 | 8 我觉得问题的关键是,两次重置密码(一次在亚麻,一次在果果),难道没有给账号的
注册信箱发确认信?一般要回复确认信后才完成密码重置吧? |
c****o
发帖数: 681 | 9 看来你没懂,我给你点拨一下。我用literral的笑话嘲笑你,其实更深的一层意思是,
你也不要标榜你的脑袋可以和屁股一分两半。
每个人都是有立场的。这个不言而喻。所以发帖说理的时候,不要上来就说别人立场怎
样怎样,要有理说理。
【在 b******n 的大作中提到】
: 你要是只会literally的理解句子,还是不要发文了吧,暴露智商
|
b******n
发帖数: 823 | 10 我第一个回帖就说理了啊,
在你的帖子里,
引发最严重后果的apple是"也有问题",
打酱油的google和amazon是"扮演了不光彩的角色",
别的不过,你看看受害人是骂谁,人是正儿八经的果轮了吧,也没包庇果子到这个地步
既然屁股坐的太歪,就要允许别人批评么
【在 c****o 的大作中提到】
: 看来你没懂,我给你点拨一下。我用literral的笑话嘲笑你,其实更深的一层意思是,
: 你也不要标榜你的脑袋可以和屁股一分两半。
: 每个人都是有立场的。这个不言而喻。所以发帖说理的时候,不要上来就说别人立场怎
: 样怎样,要有理说理。
|
|
|
j*****z
发帖数: 5306 | 11 汗,这么明显最弱的苹果啊,一个信用卡号后四位就可以reset密码了,这个太太太容易
得到了。人家受害者什么的都是抨击苹果,苹果也自己承认员工没有严格执行内部安全
标准。而且人家也说了,不一定非要用经过google,amazon,其他类似方法都可以搞苹
果。
【在 c****o 的大作中提到】
: 【 以下文字转载自 PDA 讨论区 】
: 发信人: comodo (cmd), 信区: PDA
: 标 题: Re: 提醒更新一个贵和便宜的概念
: 发信站: BBS 未名空间站 (Fri Aug 24 12:27:37 2012, 美东)
: 受害人Mat Honan的icloud密码被重置,又不是因为iphone有安全问题。
: hack的过程你引的wired原文里头其实说得明白,我现在不厌其烦用中文总结一下,方
: 便一些同学理解。
: 1)hacker在twitter上看到Honan公开的gmail地址。
: 2)gmail的密码重置网页泄露了Honan的alternate email地址,刚好是他的@me地址,
: 很容易猜到是他的appleID。当然,google隐去了email用户名中间的字符,但是显示了
|
c****o
发帖数: 681 | 12 你就提出论点:apple的问题最严重,google和amazon不过是打酱油的。然后就开始讲
屁股。你这是说理么?
我知道你和别人一样也是有立场的,但是我就没讲你的屁股,对不对?
【在 b******n 的大作中提到】
: 我第一个回帖就说理了啊,
: 在你的帖子里,
: 引发最严重后果的apple是"也有问题",
: 打酱油的google和amazon是"扮演了不光彩的角色",
: 别的不过,你看看受害人是骂谁,人是正儿八经的果轮了吧,也没包庇果子到这个地步
: 既然屁股坐的太歪,就要允许别人批评么
|
b******n
发帖数: 823 | 13 发信人: goodbug (好虫), 信区: PDA
标 题: Re: 提醒更新一个贵和便宜的概念
发信站: BBS 未名空间站 (Fri Aug 24 14:25:32 2012, 美东)
google让人看到了email的两个字符,amazon让人看了信用卡4位,
apple让人reset了密码,洞庭花开wipe了机器。果轮还孜孜不倦
地试图证明是google的问题。
【在 c****o 的大作中提到】
: 你就提出论点:apple的问题最严重,google和amazon不过是打酱油的。然后就开始讲
: 屁股。你这是说理么?
: 我知道你和别人一样也是有立场的,但是我就没讲你的屁股,对不对?
|
u****d
发帖数: 23938 | 14 gmail的密码重置网页没有泄露Honan的alternate email地址,只是给了2个提示字符,
如实叙述真相很困难吗?
这有什么好争得,明显苹果责任最大, amazon次之, 古狗几乎没责任。给提示字符,
这样做的网站不少。
【在 c****o 的大作中提到】
: 你就提出论点:apple的问题最严重,google和amazon不过是打酱油的。然后就开始讲
: 屁股。你这是说理么?
: 我知道你和别人一样也是有立场的,但是我就没讲你的屁股,对不对?
|
w********2
发帖数: 16371 | 15 读下来总体感觉,黑客很聪明也很有耐心,美国这边的服务漏洞太多
因为remote wipe,最终伤害太大。 |
d********g
发帖数: 10550 | 16 不过说回来,方便和安全需要找一个平衡。像国内那种打个客服要查祖宗三代也挺不爽的
【在 w********2 的大作中提到】
: 读下来总体感觉,黑客很聪明也很有耐心,美国这边的服务漏洞太多
: 因为remote wipe,最终伤害太大。
|
c**w
发帖数: 1024 | 17 国内主要是跟着手机号绑定,尼玛上次国内黑客事件,我的很多帐号躺着中枪,密码都
要打客服,结果客服只认手机号,说必须拿我出国前的手机号联系才行,不然只能重新
注册帐号。
爽的
【在 d********g 的大作中提到】
: 不过说回来,方便和安全需要找一个平衡。像国内那种打个客服要查祖宗三代也挺不爽的
|
c****o
发帖数: 681 | 18 我没说google给了完整地址,是goodbug情急之下,论证完整的email地址也不是隐私。
事实证明,给2个提示字符(其实不只2个,@me.com也是提示)不够安全。现在google
自己也意识到了。其实google也不是做得最差的。yahoo是直接给整个email地址。
苹果的责任很大,一是密码重置的要求太简单,二是remote wipe太随意。希望这次之
后,能有大的改进。希望这一次也是最后的一次。
不过,amazon用假号就能进入,还是更让我害怕。有一次发现amazon密码被改,现在想
想可能就是这么改的。
【在 u****d 的大作中提到】
: gmail的密码重置网页没有泄露Honan的alternate email地址,只是给了2个提示字符,
: 如实叙述真相很困难吗?
: 这有什么好争得,明显苹果责任最大, amazon次之, 古狗几乎没责任。给提示字符,
: 这样做的网站不少。
|
g*****g
发帖数: 34805 | 19 Email本来就是用来发邮件的,不是什么秘密。无数网站让你只输密码不输账户,也是
同样道理。另一方面,一个pizza guy就能进入你的itune,各位还是自祈多福吧。
你嘴硬又有啥用,这是受害者自己说的。
And it’s also worth noting that one wouldn’t have to call Amazon to pull
this off. Your pizza guy could do the same thing, for example. If you have
an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on
the other end of the line all he needs to take over your entire digital
life.
google
【在 c****o 的大作中提到】
: 我没说google给了完整地址,是goodbug情急之下,论证完整的email地址也不是隐私。
: 事实证明,给2个提示字符(其实不只2个,@me.com也是提示)不够安全。现在google
: 自己也意识到了。其实google也不是做得最差的。yahoo是直接给整个email地址。
: 苹果的责任很大,一是密码重置的要求太简单,二是remote wipe太随意。希望这次之
: 后,能有大的改进。希望这一次也是最后的一次。
: 不过,amazon用假号就能进入,还是更让我害怕。有一次发现amazon密码被改,现在想
: 想可能就是这么改的。
|
w********2
发帖数: 16371 | 20 read again, 我觉得amazon的环节是最糟糕的。 |
