сентябрь 3, 2014
Компания Apple, которую поспешили обвинить в том, что проблемы с ее облачным сервисом iCloud или функцией Find My Phone стали причиной скандальной утечки десятков фотографий голых знаменитостей в США, решительно отвергла все нападки. В своем официальном заявлении на корпоративном сайте Apple заявила, что причиной кражи хакерами интимных снимков вовсе не была эксплуатация уязвимости в ее системах.
Хакеры украли интимные фото знаменитостей. Актриса Тереза Палмер.
Twitter
Мы обнаружили, что несколько аккаунтов знаменитостей были скомпрометированы в результате целенаправленной атаки на их аккаунты, включая пользовательские имена, пароли и секретные вопросы. Ни один из исследованных случаев не был связан с прямым взломом систем Apple, включая iCloud и Find My iPhone.
Фирма также сообщила, специалисты Apple тесно сотрудничают с американскими правоохранителями, чтобы найти злоумышленников, стоящих за атакой. Чтобы защитить себя от подобных инцидентов, Apple посоветовала пользователям использовать сложные пароли и активировать двухступенчатую верификацию аккаунта.
Напомним, что за дело взялась ФБР, . Появившиеся в сети интимные фотографии голливудских актрис появились у злоумышленников, получивших доступ к телефону бейсболиста американской команды "Детройт Тайгерс" Джастина Верландера.
Хакеры взломали мобильник Джастина, а потом выложили откровенные снимки нескольких звезд. Жертвами стали Кейт Аптон (Джастин является ее бой-френдом и видео с их любовными утехами тоже было украдено и распространено хакерами вместе с десятками откровенных фото), Дженнифер Лоуренс, Селена Гомес и другие. Среди жертв кибератаки на голливудских знаменитостей оказалась будущая жена украинского боксера Владимира Кличко - актриса Хэйден Паннетьер.
Этот скандал начался . Там "горячие" снимки были удалены, однако пользователи успели растащить их и растиражировать по другим местам.
(Justin Brooks Verlander) родился 20 февраля 1983 года, американский профессиональный бейсболист, играющий на позиции стартового питчера клуба Главной лиги бейсбола "Детройт Тайгерс". В 2006 году Верландер стал новичком года Американской лиги. 12 июня 2007 года он сделал первый no-hitter на "Комерика-парке" в игре против "Милуоки Брюэрс". Свой второй no-hitter он сделал 7 мая 2011 года в игре против "Торонто Блю Джейс". 15 ноября 2011 года он единогласным решением жюри получил приз Сая Янга Американской лиги. 21 ноября 2011 года он был назван самым ценным игроком Американской лиги. Обозреватель The New York Times назвал Верландера "безусловно одним из лучших питчеров в своём поколении".
Потенциальный сценарий развития событий описал ресурс , по мнению этого сайта, массовый взлом аккаунтов звезд, возможно, произведен через уязвимость в приложении Find My Phone.
На ресурсе Github был опубликован скрипт на языке Python, который позволял подбирать пароли к сервису Find My Phone компании Apple. Этот сервис позволяет отслеживать местонахождение iPhone. Для доступа к нему используется такая же связка логина и пароля Apple ID, что и для доступа к облаку Apple iCloud, из которого были украдены фотографии знаменитостей.
Скрипт позволял методом перебора узнавать пароль от Find My Phone. При этом методе последовательно вводятся всевозможные сочетания символов, начиная с самых часто используемых паролей. Автор скрипта утверждал, что в сервисе Find My Phone количество вводимых вариантов паролей неограничено. При правильной организации системы безопасности после нескольких неудачных попыток ввести неправильный пароль аккаунт должен блокироваться и сообщать пользователю о попытке взлома.
Из-за уязвимости приложения пользователи не получили никаких сообщений о попытке подобрать пароль к их аккаунту. Хакеры узнали пароль от Apple ID и использовали его для доступа к iCloud. Согласно сообщению пользователя Hackapp в Twitter, уязвимость была обнаружена два дня назад, в субботу, и к ней написана скриптовая программа для подбора паролей.
На данный момент уязвимость закрыта: после пяти попыток доступ к сервису блокируется. The Next Web связался с пользователем Hackapp и он отметил, что вышеупомянутая уязвимость характерна для многих сервисов, однако отметил, что не имеет доказательств, что именно такая уязвимость была использована для доступа к аккаунту звезд, .
Хотя нет твердых доказательств того, что для кражи фотографий была использована уязвимость в Find My Phone, ранее уже была волна вредоносных действий с использованием этого сервиса. Хакеры перехватывали управление устройством и требовали выкуп с владельцев. Тогда Apple заявила СМИ, что в этом случае безопасность облака не была скомпрометирована, однако не проводила расследований о том, как пользователи потеряли свои аккаунты.
В России также ранее . Если злоумышленники получили доступ к iCloud описанным выше образом, то там мог хранится и пароль к аккаунту главы правительства в сервисе микроблогинга.
Впорочем, как написано выше, Apple считате, что с iCloud все в порядке.