Hoppa till innehållet

Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska.

Läs mer

En utskrift från Dagens Nyheter, 2021-01-25 16:08

Artikelns ursprungsadress: https://www.dn.se/blogg/teknikbloggen/2012/08/07/tva-telefonsamtal-rundade-losenorden/

Teknikbloggen

Två telefonsamtal rundade lösenorden

Ni har säkert hört råden om lösenord många gånger. Välj ett långt, gärna med massor av specialtecken, och byt åtminstone ibland.

Om teknikjournalisten Mat Honan följer de råden eller inte vet jag inte. Och det spelar heller ingen roll.

De som kapade hans konton hos Apple, Twitter och Google och raderade allt innehåll på hans Mac, Ipad och Iphone knäckte aldrig hans lösenord.

De ringde istället två telefonsamtal och utgav sig för att vara Mat Honan. Första samtalet var med Amazon, det andra med Apple.

Genom att lura Amazons kundtjänst lyckades angriparen ta reda på de fyra sista siffrorna i Honans kreditkort. Amazon maskar alla andra siffror med asterisker, men de fyra sista lämnas i klartext. Tanken är bland annat att kunder som har flera kreditkort registrerade hos Amazon ska kunna se vilket de väljer att betala med. Och att bara visa de fyra sista anses inte utgöra någon säkerhetsrisk.

Problemet är att den som glömt bort sitt lösenord hos Apple kan ringa kundtjänst och verifiera vem man är. Genom att uppge sin adress – och de fyra sista siffrorna i kreditkortet.

För Mat Honan innebar attacken bland annat att han ser ut att förlora massor av bilder på sin dotter, eftersom han slarvat med säkerhetskopiorna. Dessutom har han blivit av med hela sitt e-postarkiv som fanns hos Google.

I ett uttalande säger en talesperson för Apple att företaget nu ser över rutinerna för hur lösenord ska hanteras när kunder ringer till kundtjänst.

Men som användare finns det åtminstone två saker man kan göra: Se till att ha säkerhetskopior på de allra viktigaste filerna och aktivera tvåfaktorsinloggning på de tjänster som har den möjligheten.

Och även om det inte hade hjälpt Mat Honan så kan det finnas anledning att fundera över vilket lösenord som skyddar e-posten. På de flesta sajter kan man beställa ett nytt lösenord om man glömt det. Och eftersom ett nytt lösenord skickas via e-post innebär det att ett kapat e-postkonto också blir en murbräcka in på andra tjänster. Vilket bland annat var vad Honan drabbades av.