En utskrift från Dagens Nyheter, 2024-04-26 09:20
Artikelns ursprungsadress: https://www.dn.se/blogg/teknikbloggen/2012/08/07/tva-telefonsamtal-rundade-losenorden/
Få ut mer av DN som inloggad
Du vet väl att du kan skapa ett gratiskonto på DN? Som inloggad kan du ta del av flera smarta funktioner.
- Följ dina intressen
- Nyhetsbrev
Ni har säkert hört råden om lösenord många gånger. Välj ett långt, gärna med massor av specialtecken, och byt åtminstone ibland.
Om teknikjournalisten Mat Honan följer de råden eller inte vet jag inte. Och det spelar heller ingen roll.
De ringde istället två telefonsamtal och utgav sig för att vara Mat Honan. Första samtalet var med Amazon, det andra med Apple.
Genom att lura Amazons kundtjänst lyckades angriparen ta reda på de fyra sista siffrorna i Honans kreditkort. Amazon maskar alla andra siffror med asterisker, men de fyra sista lämnas i klartext. Tanken är bland annat att kunder som har flera kreditkort registrerade hos Amazon ska kunna se vilket de väljer att betala med. Och att bara visa de fyra sista anses inte utgöra någon säkerhetsrisk.
Problemet är att den som glömt bort sitt lösenord hos Apple kan ringa kundtjänst och verifiera vem man är. Genom att uppge sin adress – och de fyra sista siffrorna i kreditkortet.
För Mat Honan innebar attacken bland annat att han ser ut att förlora massor av bilder på sin dotter, eftersom han slarvat med säkerhetskopiorna. Dessutom har han blivit av med hela sitt e-postarkiv som fanns hos Google.
I ett uttalande säger en talesperson för Apple att företaget nu ser över rutinerna för hur lösenord ska hanteras när kunder ringer till kundtjänst.
Men som användare finns det åtminstone två saker man kan göra: Se till att ha säkerhetskopior på de allra viktigaste filerna och aktivera tvåfaktorsinloggning på de tjänster som har den möjligheten.
Och även om det inte hade hjälpt Mat Honan så kan det finnas anledning att fundera över vilket lösenord som skyddar e-posten. På de flesta sajter kan man beställa ett nytt lösenord om man glömt det. Och eftersom ett nytt lösenord skickas via e-post innebär det att ett kapat e-postkonto också blir en murbräcka in på andra tjänster. Vilket bland annat var vad Honan drabbades av.