To neznamená, že by někdo napadl přímo servery Applu. Spíš se celebrity nechaly nachytat na phishingovou stránku, kde zadaly přístupové údaje k účtu, jenž nebyl chráněn dvoufázovým ověřováním. Nebo útočník použil script iBrute.
Skript iBrute testuje přístupová hesla k iCloudu
O co jde? Malý prográmek testuje správnost hesel k zadaným e-mailovým adresám. Využívá přitom zranitelnosti služby Find my iPhone (součást iCloudu), která prý nebyla chráněna proti brute-force metodám. To znamená, že útočník mohl slovníkovým útokem testovat nová a nová hesla, aniž by Apple zmíněný účet nějak varoval nebo zablokoval. V databázi programu přitom bylo 500 nejpoužívanějších hesel z databáze RockYou.
iBrute byl nahrán na GitHub už před dvěma dny. O problému mohl útočník vědět dopředu a také jej využít. Teď už to není možné. Přímo v poznámkách na GitHubu autor píše, že Apple chybu opravil. Ověřili to také redaktoři magazín TNW, kterým po pěti neúspěšných pokusech o zadání hesla Apple zablokoval účet.
Pokud by se existence a zneužití této chyby potvrdilo, Apple bude mít co vysvětlovat. Pravděpodobně na to dojde řeč příští týden, 9. září totiž firma pořádá tiskovou konferenci k uvedení nového iPhonu. A novináři budou chtít odpovědi.
Zdroj: The Next Web