「個資拼圖」,簡言之是一種蒐集各處片段資訊,以匯集成較具有利用價值的個人資料手法。

雖然近年來新聞比較多,但其實這是一個資安界的老議題了。

最近比較有趣的是 2012-08-06 iCloud 的個資拼圖事件

受害者是 Wired 的編輯 Mat Honan。

1. 蒐集個資階段

駭客知道 Mat 有使用 Twitter 的服務,並在網站上找到了 Mat 的 Gmail 信箱地址。

由於 Mat 沒有啟用 Gmail 的雙因子身分驗證功能,所以當好奇的按下「重設 Gmail 的密碼」時,Google 會很好心的提供 Mat 的備用信箱。雖然顯示出來的是m****n@me.com,但足以說明 Mat 有一個 Apple ID 的帳號

2. AppleCare

要求 AppleCare (Apple 的技術支援服務) 寄出臨時登入用密碼,僅需要下列兩項資訊:

  1. Apple ID 註冊的信用卡卡號末四碼。
  2. Apple ID 的帳單地址。

之後就可以取得完整的 iCloud 服務。可是駭客該如何下手?

3. 如何取得帳單地址?

駭客透過 Whois 的服務查詢 Mat 申請的網域,自然而然地輕鬆取得帳單地址。

4. 如何取得信用卡卡號末四碼?

駭客首先打電話給 Amazon,說他是 Mat 本人,想要新增一組新的信用卡。此步驟所需的資訊只有:

  1. Amazon 的註冊帳號
  2. Amazon 的註冊信箱
  3. Amazon 的帳單地址

帳單地址剛好就是先前從 Whois 取得的資訊。

之後切斷電話,再打一次,此時通常會由不同的客服人員服務。接著說明無法登入 Amazon 帳號,然後提供以下資訊就可以獲得新的臨時密碼:

  1. 姓名
  2. Amazon 帳單地址
  3. 一組註冊過的信用卡

而這組註冊的信用卡,剛好就是前一通電話中,駭客新增的假信用卡。

通過此驗證後,客服會將顧客新提供的信箱加到 Amazon 帳號中,此時駭客只需要告知客服他所臨時申請的假信箱即可。之後 Amazon 就會寄臨時登入密碼給這個臨時信箱,於是駭客得以成功登入 Amazon,並取得更多信用卡資訊,包括 Mat 真實註冊的那個信用卡。

雖然如此,不過 Amazon 仍有最後一道保密措施,就是僅顯示信用卡的部分資訊。而這部分資訊剛好就是信用卡的末四碼,也就是先前 AppleCare 需要的那末四碼

至此,「個資拼圖」已完成,駭客也成功登入 Mat 的 iCloud。