Apple nie chce więcej wycieków zdjęć nagich celebrytek: łata luki i obiecuje poprawę

Apple zapowiedziało , że bliżej przyjrzy się atakowi, który spowodował wyciek setek zdjęć z nagimi celebrytkami, obiecując, że poważnie podejdzie do sprawy bezpieczeństwa danych swoich użytkowników. Wiele wskazuje na to, że haker wykorzystał lukę w usłudze Find My iPhone, dzięki czemu udało mu się przeprowadzić siłowy atak na konta celebrytów.

Na temat całego zamieszania wypowiedziała się wpierw rzeczniczka prasowa Apple, Natalie Kerris. Traktujemy sprawę prywatności naszych użytkowników bardzo poważnie, podjęliśmy działania mające na celu wyjaśnienie przyczyn zdarzenia – stwierdziła. Podczas gdy jednak Cupertino prowadzi swoje śledztwo, wyjaśnień zdołali dostarczyć już niezależni eksperci.

Winę ponosi tutaj bowiem głównie Apple, które nie przewidziało, że ktoś postara się zautomatyzować zgadywanie haseł w usłudze Find my iPhone. Dzięki prostemu skryptowi haker przeprowadził zwykły atak słownikowy, a usługa zwracała informacje o błędzie do momentu trafienia poprawnej kombinacji. Wykorzystujące tę lukę narzędzie iBrute trafiło trzy dni temu na GitHuba, by wczoraj zyskać rozgłos dzięki publikacji w serwisie Hacker News.

Wystarczyłoby więc wprowadzić zabezpieczenie blokujące konto po określonej liczbie nieudanych prób lub dodatkową weryfikację użytkownika przy kolejnym nieudanym wprowadzeniu hasła, a haker miałby znacząco utrudnione zadanie. Do wycieku mogłoby w ogóle nie dojść. Teraz narzędzie jest jednak zupełnie bezużyteczne, bowiem Apple blokuje dostęp do konta po pięciu próbach odgadnięcia hasła. Zapewne pozostaje jedynie kwestią czasu odkrycie kolejnych luk, które umożliwią kolejne wycieki danych.

Część winy spada jednak na poszkodowane celebrytki. Niektórzy specjaliści od bezpieczeństwa uważają, że do wycieku zdjęć nie doszłoby, gdyby korzystały one z dwuetapowej weryfikacji w procesie logowania do swoich kont. Samo korzystanie z tak rozszerzonych zabezpieczeń jest naturalnie godne pochwały (zachęcamy do ich włączenia), niemniej akurat w tym konkretnym przypadku raczej niewiele by to pomogło. Dwuetapowa weryfikacja Apple obecnie wywoływana jest bowiem tylko podczas logowania do witryny umożliwiającej zarządzanie My Apple ID, korzystania z pomocy technicznej Apple lub transakcji płatniczej z nieznanego urządzenia. Samo logowanie do chmury iCloud, na przykład z poziomu przeglądarki, nie jest niestety objęte tymi zabezpieczeniami.