Это не глюк — это взлом Как защитить свою почту и все остальное

В выходные один из авторов блога Gadget Lab Мэт Хонан пережил маленький технический апокалипсис. Взломали его почту, аккаунт в «Амазоне» и облачном хранилище iCloud, после чего заблокировали его макбук, айфон, айпэд и удалили с них фотографии, документы, письма. Используя восстановление пароля через Gmail, хакеры также захватили его твиттер и привязанный к нему корпоративный твиттер сайта Gizmodo, где журналист когда-то работал, и оставили в нем расистские сообщения про негров. Вчера сценарий этого взлома Хонан подробно описал — короткий пересказ на русском смотрите тут. 

Повторить такое, в общем, сумел бы каждый: достаточно знать имя человека и адрес его электронной почты. Получив пароль к почте, преступник получает доступ практически ко всей личной и корпоративной жизни человека (что, правда, не новость). Новость же в том, что пароль тут добыт не каким-то сложным способом, а парой звонков в службы поддержки «Амазона» и Apple, сотрудники которых с удивительной легкостью сдали все явки. Еще надо сказать, что и случится такое может с каждым: необязательно быть знаменитым или иметь врагов, чтобы тебя взломали (и это, похоже, для кого-то еще новость). Как пишет Хонан, один из хакеров по кличке Phobia сам связался с ним и дал понять, что провернул все это просто из лихости.

Характерно, что Хонан несколько лет не менял свой сравнительно простой пароль в iCloud (что, в общем-то, по-человечески понятно). Даже когда айфон сообщил о перезагрузке — в это время коллега этого Phobia через iCloud уже удалял его содержимое, — Хонан подумал, что это просто сбой («Меня это возмутило, но не встревожило»). Потом то же самое — буквально за пять минут — произошло с планшетом и ноутбуком. О том, что его взломали, он понял, только когда взял телефон жены и увидел глупости, написанные от его имени в твиттере.

Да, там в сценарии есть одна местная особенность. Для смены пароля в iCloud потребовался номер банковской карты жертвы. Его хакер узнал в «Амазоне», которым в России, допустим, пользуется не так много людей. Но мораль истории еще и в том, что эта амазоновская часть сценария необязательна, если известен пароль от почты. Его ведь можно подобрать по-другому — и точно так же, через iCloud, захватить гаджеты пользователя. Если луддитские варианты не подходят (например, отключить синхронизацию с облаком), остается, наверно, только забаррикадировать свою почту старыми способами.

1.Проверить, насколько надежен пароль. Не пользоваться самыми популярными, прочитать инструкцию на тему.

2. Попробовать менеджер паролей, если придумывать и запоминать что-то сложное лень, а аккаунтов у вас много. Вот, например, список.

3. Включить в Google двухэтапную аутентификацию. Тогда для смены пароля сайт дополнительно попросит код, присланный по СМС. (Судя по всему, если бы Мэт Хонан включил эту опцию, проблем бы не было.)

4. Не выбирать очевидные кодовые слова для восстановления пароля. Девичья фамилия, имя собачки, название школы — подобные вещи легко узнать в фейсбуке.

5. Ну и по возможности не хранить в почте логины и пароли от других интернетовских служб (как и номера или фотографии банковских карт). А в идеале завести  для связки с этими службами второй почтовый ящик и нигде не публиковать его адрес.

P.S. После случившегося Apple временно запретила своей службе поддержки восстанавливать пароли для iCloud по телефону.