黑客攻击迫使亚马逊和苹果改变安全策略

在八月3号，根据一位“epic hack”融合技术记者 Mat Honan的twitter描述，一直以来，这位攻击者---熟知的“恐怖”，远程将其苹果笔记本电脑，iphone，ipad进行了控制。更为甚者，Phobia是通过社交工程完成对他电脑的侵袭的。通过在苹果核亚马逊伪装成客户的服务代理，使得他有权限获得足够的信息第一时间截获honan的 iCloud
和 Gmail 的账户。

惊奇的是，一个自称19岁的人有能力对一个资深社会工程人士造成问题，那么罪犯，无聊的青年军团已经把这些技术用到工作当中去了，只是曾经没有受害者防卫。马可·阿门特，tumblr的创始人之一在他的博客当中提到：“随着这个身份验证系统被这个技术罪犯利用了之后，由谁来平衡这个问题？亚马逊的系统错误时部分的，但最为严重的是苹果的系统问题。”“如果可以通过知道你的名字和地址就能知道你的icloud的账号，从而掌握你的icloud将是一件骇人听闻的事情，因为很容易就能获取到你的名字和信用卡的最后面的四个数字。而这些信息一般会被认为显示在收银台和网站上是安全的”。

说道验证用户，企业总是很懒惰的。“她将涉及到什么是验证--你要如何验证他们说他们是的真伪。就是现在，一些规范让你暴漏你的一些个人信息。”安全情报管理机构Trustwave
SpiderLabs的经理说，通过使用“Space Rogue”，通过电话说道。现在一个很明显的问题就是：“没有真正秘密的信息”。他说：”所有的信息都可以很简单的通过google或者其他的方式获取“。

这次的机密信息的错误归咎于亚马逊和苹果的积极性造成的。或者说是因为地址的原因，使得这次的攻击显得比较引人关注。（尽管两家公司都在重新评估他们的安全平衡度。）

在今年早些时候在阿姆斯特丹召开的”黑色帽子欧洲会议“，渗透测试给出详细的信息，他们曾经受雇于一家公司用于识别其信息安全漏洞。平时，他们在网络应用当中去发现一些预期的错误。但往往，他们往往能遇到开启这些信息的后门，通过解锁索引文件能够打印出用户的用户名，密码以及其他的敏感信息。

专业渗透测试人员还在苹果和亚马逊有过短暂的工作，给予了冒充用户的捷径。”人们经常做这样的事情，发生在Honan身上的事情并不是孤立的事件“。Space Rogue（著名咨询公司Stake的股东，同时也为重工业Lopht安全工作过）说道。

由于企业的疏忽，导致了Honan和一般用户允许出现了网络身份的攻击。Honan写到：”这个安全的失误是我的错误，我深深的感到后悔“。然而，在做出这个申明之前，Honan曾写过一个长达3300字数的文章，分析亚马逊和苹果存在的错误。

最后重申：不要成为Honan那种情况，他没有将自己的设备进行备份，尽管那时一时大意，他的苹果笔记本操作系统对时间进行了备份。它使用了相同的电子邮件前缀，同时在大多数邮件前面均添加了姓名。这才导致他的账号很容易被他人攻击和盗取，他将许多账户绑定到一块，从而造成了这一个单例。