個資拼圖
「個資拼圖」,簡言之是一種蒐集各處片段資訊,以匯集成較具有利用價值的個人資料手法。
雖然近年來新聞比較多,但其實這是一個資安界的老議題了。
- 2007-12-24 資訊拼圖蒐集帳號密碼 台警呼籲常更換
- 2007-12-25 「資料拼圖」 又稱懶人密碼 (備份)
- 2008-02-25 「資料拼圖」成帳號竊取主要手法 (備份)
- 2008-04-18 警政署:駭客系統化經營個資資料庫
- 2008-08-27 竊5千萬筆個資 馬扁「搜」得到 (備份)
最近比較有趣的是 2012-08-06 iCloud 的個資拼圖事件。
受害者是 Wired 的編輯 Mat Honan。
1. 蒐集個資階段
駭客知道 Mat 有使用 Twitter 的服務,並在網站上找到了 Mat 的 Gmail 信箱地址。
由於 Mat 沒有啟用 Gmail 的雙因子身分驗證功能,所以當好奇的按下「重設 Gmail 的密碼」時,Google 會很好心的提供 Mat 的備用信箱。雖然顯示出來的是m****n@me.com
,但足以說明 Mat 有一個 Apple ID 的帳號。
2. AppleCare
要求 AppleCare (Apple 的技術支援服務) 寄出臨時登入用密碼,僅需要下列兩項資訊:
- Apple ID 註冊的信用卡卡號末四碼。
- Apple ID 的帳單地址。
之後就可以取得完整的 iCloud 服務。可是駭客該如何下手?
3. 如何取得帳單地址?
駭客透過 Whois 的服務查詢 Mat 申請的網域,自然而然地輕鬆取得帳單地址。
4. 如何取得信用卡卡號末四碼?
駭客首先打電話給 Amazon,說他是 Mat 本人,想要新增一組新的信用卡。此步驟所需的資訊只有:
- Amazon 的註冊帳號
- Amazon 的註冊信箱
- Amazon 的帳單地址
帳單地址剛好就是先前從 Whois 取得的資訊。
之後切斷電話,再打一次,此時通常會由不同的客服人員服務。接著說明無法登入 Amazon 帳號,然後提供以下資訊就可以獲得新的臨時密碼:
- 姓名
- Amazon 帳單地址
- 一組註冊過的信用卡
而這組註冊的信用卡,剛好就是前一通電話中,駭客新增的假信用卡。
通過此驗證後,客服會將顧客新提供的信箱加到 Amazon 帳號中,此時駭客只需要告知客服他所臨時申請的假信箱即可。之後 Amazon 就會寄臨時登入密碼給這個臨時信箱,於是駭客得以成功登入 Amazon,並取得更多信用卡資訊,包括 Mat 真實註冊的那個信用卡。
雖然如此,不過 Amazon 仍有最後一道保密措施,就是僅顯示信用卡的部分資訊。而這部分資訊剛好就是信用卡的末四碼,也就是先前 AppleCare 需要的那末四碼。
至此,「個資拼圖」已完成,駭客也成功登入 Mat 的 iCloud。