IT-journalist Mat Honan van wie hackers zijn digitale leven binnen een uur geheel wisten, heeft de werkwijze van de aanvallers achterhaald en zelf gereproduceerd bij anderen. Dit weekend liet Honan weten dat aanvallers zijn Twitter-account hadden overgenomen om racistische boodschappen te verspreiden en vervolgens zijn iPad, iPhone en Macbook wissen. In eerste instantie werd de schuld bij een Apple Tech Support-medewerker gelegd, maar de aanval verliep over meerdere lagen.

Honan kwam in contact met één van de aanvallers en kreeg op voorwaarde dat hij geen aanklacht indient de werkwijze te horen. De aanvallers waren niet specifiek naar de journalist op zoek, maar kwamen per toeval zijn drieletterig Twitter-account tegen. Het Twitter-account van Honan was aan zijn persoonlijke website gekoppeld. Daar vandaan wisten ze zijn Gmail-adres te achterhalen.

Twee-factor authenticatie
De aanvallers gingen ervan uit dat Honan dit adres ook voor zijn Twitter-account gebruikte. Aangezien Honan niet Google's twee-factor authenticatie gebruikte, konden de aanvallers via de Google account recovery pagina zijn alternatieve e-mailadres zien. Google maakt deze informatie deels onleesbaar, maar in het geval van Honan was het toch eenvoudig te raden, namelijk m••••n@me.com.

Na het e-mailadres moesten de aanvallers nog zijn factuuradres achterhalen en de laatste vier cijfers van zijn creditcardnummer om Apple's Tech Support te misleiden. Het factuuradres werd in de WHOIS-gegevens van Honan's domein gevonden. Het creditcardnummer was iets lastiger, maar nog steeds redelijk eenvoudigte vinden.

Amazon
De aanvallers belden Amazon en deden zich voor als de accounthouder die een creditcardnummer aan het account wilden toevoegen. Hiervoor moesten ze de naam, factuuradres en het e-mailadres van het account weten. Na het toevoegen van het creditcardnummer belden de aanvallers Amazon terug en vertelden dat ze geen toegang meer tot het account hadden. Als bewijs gaven de aanvallers de naam, factuuradres en het nieuwe creditcardnummer. Amazon maakt het vervolgens mogelijk om een nieuw e-mailadres toe te voegen.

Vervolgens werd het wachtwoord gereset, waardoor de aanvallers de laatste vier cijfers van de oorspronkelijke creditcard konden kijken. Met deze informatie gingen ze vervolgens naar Apple's Tech Support. De IT-journalist wist de werkwijze van de aanvaller zelf te reproduceren. Apple liet in een verklaring weten dat het de werkwijze gaat evalueren, terwijl Amazon geen reactie gaf.

Vertrouwen
Honan stelt dat hij zelf ook de nodige fouten heeft gemaakt door zijn accounts aan elkaar te koppelen en geen back-ups te maken. De aanvallers wisten meer dan een jaar aan foto's, waaronder alle foto's van zijn dochter en andere documenten. De grootste fout was echter het gebruik van Find My Mac. Via de dienst zijn gestolen of verloren laptops terug te vinden, maar ook te wissen, wat de aanvallers deden.

"Ik ben ook boos dat dit ecosysteem waar ik zoveel vertrouwen in plaatste, me zo heeft laten zitten", aldus Honan die in Wired z'n hele verhaal doet.