個資拼圖

「個資拼圖」，簡言之是一種蒐集各處片段資訊，以匯集成較具有利用價值的個人資料手法。

雖然近年來新聞比較多，但其實這是一個資安界的老議題了。

• 2007-12-24 資訊拼圖蒐集帳號密碼 台警呼籲常更換
• 2007-12-25 「資料拼圖」 又稱懶人密碼 (備份)
• 2008-02-25 「資料拼圖」成帳號竊取主要手法 (備份)
• 2008-04-18 警政署：駭客系統化經營個資資料庫
• 2008-08-27 竊5千萬筆個資 馬扁「搜」得到 (備份)

最近比較有趣的是 2012-08-06 iCloud 的個資拼圖事件。

受害者是 Wired 的編輯 Mat Honan。

1. 蒐集個資階段

駭客知道 Mat 有使用 Twitter 的服務，並在網站上找到了 Mat 的 Gmail 信箱地址。

由於 Mat 沒有啟用 Gmail 的雙因子身分驗證功能，所以當好奇的按下「重設 Gmail 的密碼」時，Google 會很好心的提供 Mat 的備用信箱。雖然顯示出來的是m****n@me.com，但足以說明 Mat 有一個 Apple ID 的帳號。

2. AppleCare

要求 AppleCare (Apple 的技術支援服務) 寄出臨時登入用密碼，僅需要下列兩項資訊：

1. Apple ID 註冊的信用卡卡號末四碼。
2. Apple ID 的帳單地址。

之後就可以取得完整的 iCloud 服務。可是駭客該如何下手？

3. 如何取得帳單地址？

駭客透過 Whois 的服務查詢 Mat 申請的網域，自然而然地輕鬆取得帳單地址。

4. 如何取得信用卡卡號末四碼？

駭客首先打電話給 Amazon，說他是 Mat 本人，想要新增一組新的信用卡。此步驟所需的資訊只有：

1. Amazon 的註冊帳號
2. Amazon 的註冊信箱
3. Amazon 的帳單地址

帳單地址剛好就是先前從 Whois 取得的資訊。

之後切斷電話，再打一次，此時通常會由不同的客服人員服務。接著說明無法登入 Amazon 帳號，然後提供以下資訊就可以獲得新的臨時密碼：

1. 姓名
2. Amazon 帳單地址
3. 一組註冊過的信用卡

而這組註冊的信用卡，剛好就是前一通電話中，駭客新增的假信用卡。

通過此驗證後，客服會將顧客新提供的信箱加到 Amazon 帳號中，此時駭客只需要告知客服他所臨時申請的假信箱即可。之後 Amazon 就會寄臨時登入密碼給這個臨時信箱，於是駭客得以成功登入 Amazon，並取得更多信用卡資訊，包括 Mat 真實註冊的那個信用卡。

雖然如此，不過 Amazon 仍有最後一道保密措施，就是僅顯示信用卡的部分資訊。而這部分資訊剛好就是信用卡的末四碼，也就是先前 AppleCare 需要的那末四碼。

至此，「個資拼圖」已完成，駭客也成功登入 Mat 的 iCloud。