| 1 сен 2014 — 4:47 утра по тихоокеанскому времени
The Next Web сообщает, что уязвимость в сервисе «Найти телефон» могла позволить злоумышленникам методом перебора паролей получить доступ к аккаунтам iCloud знаменитостей.
Обнаруженная в сервисе «Найти iPhone» уязвимость, по сообщениям, позволила злоумышленникам многократно подбирать пароли без каких-либо блокировок или уведомлений для жертвы. Как только пароль был подобран, злоумышленник мог свободно использовать его для доступа к другим функциям iCloud.
Инструмент для эксплуатации этой уязвимости был загружен на Github, где он находился два дня, прежде чем был опубликован на Hacker News…
Apple исправила сервис сегодня в 3:20 утра по тихоокеанскому времени. Хотя время может быть совпадением, публикация эксплойта iCloud онлайн за два дня до появления фотографий и его исправление вскоре после того, как новость стала достоянием общественности, делают это маловероятным. Apple пока не ответила на запрос о комментарии.
Стоит отметить, что уязвимость не позволяла получить доступ к паролям iCloud, а лишь допускала многократные попытки угадывания или автоматизированные словарные атаки. Чтобы это сработало, на взломанных аккаунтах должны были использоваться относительно слабые пароли.
Поскольку многие знаменитости знают друг друга, вполне вероятно, что после компрометации одного аккаунта данные контактов могли быть использованы для идентификации адресов электронной почты других знаменитостей, после чего применялась та же тактика к каждому аккаунту.
Хотя инструмент появился на Github всего два дня назад, его автор или другие лица могли иметь к нему доступ гораздо дольше, что потенциально объясняет сообщения о публикации фотографий, удаленных их владельцами некоторое время назад.
Как и в случае любого онлайн-сервиса, всегда рекомендуется использовать надежные пароли и двухфакторную аутентификацию.
Скриншот предоставлен @viniciuskmax