אפל אמרה שהיא חוקרת את ההפרה של חשבונות ה-iCloud שלה, וכתוצאה מכך להפצה נרחבת של מפורסמות הוליוודיות מפורסמות רבות. זה גם מאשר שהייתה גישה לא מורשית לחשבונות iCloud.
שום דבר לא פורסם מקופרטינו לגבי אופן ביצוע הפריצות, אבל כמה ראיות מצביעות על פגיעות בתכונת Find My iPhone של iCloud, המנוצלת על ידי סקריפט Python שפורסם ב-GitHub לפני מספר ימים כהוכחה ל- הדגמת קונספט.
הסקריפט נקרא iBrute, וזוהי גישה של כוח אכזרי לקבל גישה באמצעות שאילתות שילוב של דואר אלקטרוני וסיסמא עד שהוא פוגע בזהב. לרוב השירותים יש מגבלה על מספר ניסיונות מזהה המשתמש והסיסמה שניתן לבצע לפני נעילת החשבון. עד אמש, המערכת של אפל אפשרה מספר בלתי מוגבל של שאילתות.
אפילו עם שאילתות בלתי מוגבלות, משהו פשוט כמו שלב שני של אימות עשוי היה לעצור את ה"האקר". המכונה אימות דו-שלבי, שירותים רבים זמינים את זה כאופציה, כולל Apple ID, אך תכונות אלה אינן מקודמות בכל רחבי הלוח. במקרה של אפל, אימות דו-שלבי יושם תחילה בתחילת השנה שעברה, והורחב באופן נרחב רק לפני כמה חודשים.
מה שמעניין בפיתוח הזה הוא שאולי זו לא הפעם הראשונה שאנחנו רואים את התכונה הזו של Apple ID מנוצלת באמצעות "כוח גס". באביב האחרון, מספרמשתמשי אייפון ואייפד באוסטרליהגילו שהחשבונות שלהם נחטפו על ידי "האקרים" (זו באמת לא פריצה אלא גישת ניסוי וטעייה) שדרשו לאחר מכן כופר כדי להחזיר את השליטה בחשבונות למשתמש המקורי. במקרה זה, חשבונות עם אימות דו-שלבי לא הושפעו.
iBrute, שפורסם כהוכחה לקונספט, בפעולה. שימו לב לניכוי הסיסמה הנפוצה, אם אתם משתמשים באחת מהן, היא לא חזקה במיוחד
מה שמעיד עוד יותר על הפרה זו הוא העדר הודעות לכאורה לבעל החשבון על ניסיונות גישה חוזרים ונשנים, וככל הנראה אין סריקה פרו-אקטיבית אחר תת-רשת כתובות IP מוכרות או זיהויים של מחשב. האם אי פעם ניסית להיכנס לחלק מהשירותים המקוונים שלך ממחשב חדש רק כדי שיאתגרו אותך מיד להוכיח מי אתה רק בגלל שזו הייתה מכונה אחרת?
בין המפורסמות ברשימת ה-A שמצאו את התמונות הפרטיות שלהן מפוזרות ברחבי האינטרנט היו ג'ניפר לורנס, קייט אפטון, ריהאנה, מרי ווינסטד, וונסה הדג'נס. יותר מ-100 חשבונות נפגעו.
כפי שציינו במאמר הקודם שלנו, נקיטת צעדים אחראיים כדי להגן על הפרופיל הדיגיטלי שלו היא אחריות אישית. כצרכנים אנו אחראים למה שאנו עושים (כגון לא להשאיר חפצי ערך לעין במכונית נעולה), וזה כולל שימוש בכלים הזמינים כדי להגן על מה שאנו רואים כבעל ערך. עם זאת, במקרה זה, נראה כי לאפל יש עבודה מסוימת (כלומר, לרכב הנעול עשוי להיות מנעולים פגומים) כדי להביא הגנות צרכניות חזקות יותר לשירותים המקוונים שלה. יתר על כן, עדכון באופן שבו שירותי ענן מופעלים או לא מופעלים כברירת מחדל במוצרי אפל תשרת את כולם טוב יותר.
מקורות:מחדש/קוד,יונתן זדז'יארסקי, ורדמונד פאי
