Масштабы скандала, связанного с якобы имевшей место уязвимостью облачного сервиса iCloud, заставили Apple действовать оперативно, чтобы сохранить репутацию и на корню прекратить все досужие домыслы. Итак, за минувшие сутки, специалисты американской компании установили, что сервисы iCloud и «Найти iPhone» не были взломаны или как-либо иначе вовлечены в случившиеся – так гласит официальный пресс-релиз Apple.
Хакеры, добравшиеся до личных фотографий знаменитостей, использовали целенаправленную атаку с подбором имен пользователей, паролей и секретных вопросов. Таким образом, нет никаких оснований полагать, что злоумышленники использовали уязвимость в сервисах Apple. Полный текст заявления американской компании выглядит следующим образом:
Мы хотели бы дополнить результаты нашего расследования, касающегося кражи фотографий некоторых знаменитостей. Когда мы узнали о краже, то сразу же были мобилизованы все необходимые специалисты, чтобы обнаружить непосредственную причину. После сорока часов изучения имеющихся данных мы обнаружили, что некоторые учетные записи знаменитостей были взломаны при помощи целенаправленной атаки, включающей имена пользователей, пароли и секретные вопросы. В настоящее время подобный подход крайне распространен в Интернете. Ни одна из краж снимков не стала результатом уязвимости какого-либо из сервисов Apple, включая iCloud и «Найти iPhone». Мы продолжаем работать с правоохранительными органами, чтобы идентифицировать причастных к краже людей.
В Apple также еще раз напомнили о необходимости создания безопасного пароля, а также активации двухэтапной авторизации, которая позволит исключить подобного рода несанкционированный доступ третьих лиц. Пожалуй, единственным возможным завершением данного скандала станет поимка причастных к краже лиц. Тогда в данной истории можно будет поставить точку. По крайней мере, можно безбоязненно продолжать использовать iCloud. [MacRumors]
22 комментариев
Форум →Я так и думал :))) тупо подобрались пароли и слили резервку :))
так вот же, насколько я понял, вот это написали хакеры
https://github.com/hackappcom/ibrute
очень простой скрипт, основан тупо ан простом брутфорсе, используя данные из адского американского слива паролей с ресурса RockYou
нас (русских и снг) это не [особо] касается, но для америкосов это было очень важное событие, ибо многие из RockYou использовали те же пароли где-то еще (email, icloud, etc.) вот и пжалста – взлом.
итог: не используйте одинаковые пароли на разных ресурсах, какими бы они сложными не были…. едиснтвенный способ защититься от взлома это вообще не постить ничего онлайн, а на втором месте хотя бы использовать совершенно разные и _рандомные_ пароли на ресурсах, где вы зарегистрированы…а лучше вообще не сидеть онлайн, если вы очень параноидальны =)
Это какие простые пароли должны быть для брута?
@Philipp, Словарные.
Ну строго говоря уязвимость позволяла подбирать пароль))) На то она и уязвимость.
Так что это какие-то невнятные оправдания в стиле: “А мы тут не при чем, это ведь была целенаправленная атака”
Лол короче…
@Букинxем, да и самое забавное – вчера были новости, что fApple
закрыла уязвимость.
А сегодня у нас замечательные новости, что оказывается впоследствии опровергла наличие уязвимости))))
@Букинxем, Это была не уязвимость в прямом смысле слова, но ошибка в конфигурирование сервиса. Система позволяла многократно вводить пароли без блокировки учётной записи совсем или временно, в случае ввода неправильного пароля n раз, что сильно облегчило злоумышленникам работу.
Скажу как системный администратор нескольких сервисов – я постоянно работаю с людьми и с их учётными записями в различных сервисах. Заставить человека использовать взломостойкий пароль очень тяжело. Обычно это либо дата рождения в виде ддммгггг, либо легкоподбираемые последовательности типа qwerty, 123456, 1qaz2wsx… А если и удаётся заставить использовать сложный пароль, то чаще всего он в лучшем случае записан на стикере и приклеен к монитору, в худшем лежит в текстовом файле на рабочем столе и запомнен в браузере везде где только можно.
@SirKliv, исправление уязвимости – это автоматическое признание факта наличия уязвимости.
Нельзя починить что-то и одновременно заявлять, что оно не ломалось, потому что это смешно.
@Букинxем, Ну как тебе объяснить.
вот представь что ты живешь вохраняемом доме.
подходит чувак и давит на кнопки кода двери. дверь не открывается. он может поперебирать пару минут, но тут обычно подходит охрана и спрашивает – а чего ты тут обтираешься? не знаешь кода – пшел вон.
В случае эппла, в одном конкретном месте охрана не подходила, и не вышвырилвала такого подбиральщика.
То есть он мог стоять и перебирать пароли от двери.
По факту – это не компроментирование сети в целом. Это брежь в безопасности. Это отсутствие дополнительной меры защиты в виде охраны.
Но это не уязвимость сервиса, как такового. И при наличии достойного пароля – никто бы не ломанул. Эппл ведь даже отпечаток сделала, чтобы пользователи придумывали достойной сложности пароли. А всем пофиг.
—
Кстати – есть мнение, что большая часть утекших фоток утекла не через icloud, ибо делались они явно не на айфон.
@MMgo, во-первых пароль простой никак не сделаешь, во-вторых дать делать брут и есть уязвимость. Я понимаю в аське подбирали в те времена. Но у топовой айти компании это фейл.
@Букинxем, подобра ли же. Это происки конкурентов предверии 9 сентября.
@Букинxем, в каком месте они опровергли наличие уязвимости ? Они говорят не про наличие/отсутствие уязвимости, а про ее эксплуатацию. Разные вещи вощемто
Тож думаю подобрали ответы и пароли. Но фотки и видосы отличные!!!
Слили фото только знаменитостей которых я не знаю? Простые смертные пострадали? Может кто то целенаправленно копали под звезд (публичных людей найти не сложно, почти у всех как минимум твитер). И выложили фото тех к кому подобрали, остальные спят спокойно.
несколько недель ню фотки пытались продать на различных аукционах, потом слили их. Лазейка в приложении Find My iPhone, позволяющую бесконечно проверять пароль. 1 сентября apple закрыла дыру. С iCloud изначально все было нормуль. Предположительно торговец этими фотками Bryan Hamade, к нему уже выехали )))
@dimka124, продавец так же предлагал обменять фотки звезд на эротические изображения девушек покупателей.
хехе )) а то что пароли можно подбирать – и есть уязвимость )
Что то с трудом верится что взломали или подобрали пароль. Почему тогда хакеры представляют фото в обнаженном виде и только девки. Не ужели не оказалось фотографий где они пьяные в подворотне, лицом в салате образно говоря. Кроме как пиар в голову мысль не приходит.
А ещё что интересно – многие фотки имеют странные имена. А именно такие имена дают данным iTunes и iCloud. Так что фотки это только вершина айсберга. Есть ещё номера телефонов, заметки, электронная почта ( с паролями в заметках :)))) причем выдрали даже фотки из аймесаджа. Так что остаётся только догадываться, для чего это реально было сделано… И да, странность. Некоторые фото имеют название img_001, грубо говоря, и на айфоне, по идее их не должно было быть в таком состоянии. То есть сдирали с чего-то ещё ( ну или архив с почты могли скачать и распаковали фотосессию )… Короче вопросов больше чем ответов…
Пока работает куча сервисов по реальной отвязке от айклауда (те же киевляне и прочие, ссылки давать не буду найти легко самим) или предоставлению инфы о владельце айклауда и вопросах контрольных дыра есть и будет.И она совсем не в уязвимости у Эпла , а со стороны опсосов
Эпл заставляет делать сложные пароли, а толку?
кто-то еще заметил:
1. iCloud не хранит видео
2. часть украденных фото сделаны на андроид
3. по словам пострадавших: часть фото и видео давно удалены
4. в архиве кроме фото есть еще public_photo.pdf из DropBox
если вы подключали DropBox – при первом запуске кроме всего прочего предлагается включить загрузку в фоновом режиме. При этом даже если удалить файлы с устройства (из галереи) это никаким боком не заденет уже загруженные в DropBox.
все перечисленное наводит на мысли, что звезды просто тупо сливали фото/видео в DropBox в публичную папку, которую может посмотреть кто угодно, не требуется регистрация в сервисе.
интересно, российские звезды хранят свои откровенные фото/видео на mail.ru? хотя большинство мне не хотелось бы видеть даже одежде :)
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как автоматически ставить точку и заглавную букву в OS X и macOS?
Ошибка при наборе номера в международном формате. Что делать?
Какой блок питания нужен для быстрой зарядки iPad
Почему iPhone не видит Lightning-флешку
Как запретить Pages, Numbers и Keynote сохранять документы в iCloud
Почему не срабатывает переключение языка клавиатуры в macOS
Как отключить голосовое управление на iPhone?
Как хранить раздельные контакты, заметки и календари на разных iPhone с одной учёткой Apple ID