Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla

Hromada fotek odhalených celebrit skutečně pochází z jejich iPhonů a útočníci se k nim dostali přes iCloud. O tom není pochyb. Apple však popřel, že by chyba byla na jeho straně.
Apple: iCloud je bezpečný, za únik fotek mohou slabá hesla
Klepněte pro větší obrázek

Chvíli to trvalo, ale Apple se konečně oficiálně vyjádřil k pondělnímu úniku fotografií celebrit. Ten vzbudil pozornost nejen v bulvárních médiích, protože leckteré fotky byly značně choulostivé, ale také těch technických, protože fotografie údajně unikly z cloudového úložiště Applu. Apple nepřímo potvrdil nejpravděpodobnější postup, kterým útočníci přístup k účtům získali, ale vinu svedl na samotné uživatele.

Oficiální vyjádření Applu:

„Chtěli bychom vás informovat o našem vyšetřování v případě krádeže fotek některých celebrit. Když jsme se o krádeži dozvěděli, byli jsme pobouřeni a okamžitě jsme mobilizovali inženýry Applu, aby zjistili zdroj úniku. Soukromí a bezpečnost našich zákazníků je totiž pro nás to nejdůležitější. Po více než 40 hodinách vyšetřování jsme zjistili, že účty dotčených celebrit byly napadeny útokem cíleným na uživatelská jména, hesla a bezpečnostní otázky, což je běžná praxe všude na internetu. Žádný z případů, který jsme prošetřovali, nebyl vyhodnocen jako průnik do některého systému Applu, včetně iCloudi nebo funkce Find my iPhone. Pokračujeme ve spolupráci s policií, abychom pomohli najít viníky.

K ochraně proti tomuto typu útoku doporučujeme všem uživatelům vždy používat silná hesla a zapnout si dvoufázové ověřování. O obou možnostech více na našem webu: http://support.apple.com/kb/ht4232

500 nejpoužívanějších hesel stačí k úspěchu

Před útokem se totiž na Githubu objevil skript, který umožnil opakované hádání hesel ke službě Find my iPhone. Ta slouží k vyhledání zapomenutého či odcizeného iPhonu tím, že se uživatel přihlásí pod svým uživatelským účtem a následně se mu na mapě zobrazí poslední známá poloha jeho telefonu. K přihlášení se tu tedy používá Apple ID, uživatelský účet do systému Applu, kterým se lze dostat i k obsahu samotného iCloudu.

Klepněte pro větší obrázek 
Find my iPhone. Pravděpodobné slabé místo, kde bylo možné provést automatizované hádání hesel opakovanými pokusy pro přihlášní.

Webové služby jsou zpravidla chráněny před opakovanými pokusy o uhádnutí hesla omezeným počtem pokusů, což platí i o iCloudu. Jenomže v případě přímého přístupu k Find my iPhone tato ochrana chyběla. Apple tuto chybu záhy opravil, ale to už bylo pozdě. Útočníci vzali 500 nejpoužívanějších hesel (ty jsou známy z mnoha úniků) a postupně je aplikovali na účty s uživatelskými jmény, které by teoreticky mohly patřit celebritám.

Několik set opakovaných pokusů k uhodnutí hesla ke každému účtu ještě nestačilo automatickým kontrolním mechanismům Applu na to, aby konání vyhodnotily jako útok a majitele účtu přinejmenším informovaly na e-mail.

Chraňte si své cloudy

Tento postup Apple oficiálně nepotvrdil, uvedli ho samotní údajní autoři úniku. Ale nikdo už o tom moc nepochybuje. Ostatně, to že Apple záhy chybu opravil a přihlášení na Find my iPhone omezil jen na pět pokusů, možnost využití této cesty nepřímo potvrzuje.

Se znalostí Apple ID už se dá jednoduše dostat ke všem údajům v iCloudu. Zajímavý mohl být u mnohých pohled do adresáře či kalendáře, nejlákavější ale pochopitelně byly fotky. Z iPhonu se totiž na iCloud posílají automaticky, takže veškeré mobilní momentky jsou k nalezení i v cloudu.

Na začátku to byla vlastně jen malá šance – musíte uhodnout uživatelské jméno, k tomu heslo a cílená celebrita musí mít navíc iPhone. Ale jak se ukázalo, úspěšnost byla nakonec docela vysoká. Popularita produktů Applu mezi celebritami je totiž značná, ale osvěta ohledně zabezpečení uživatelských účtů na internetu zjevně chabá. Focení sebe samotných včetně choulostivých záběrů je pak možná přirozenou vlastností celebrit…

Je pravděpodobné, že při útoku na celebrity byla stejným způsobem odhalena hromada dalších uživatelských účtů běžných lidí, kteří používají podobná přihlašovací jména. Chcete-li se vyhnout podobným útokům, ochrana je triviální, prostě zajistěte své internetové účty dobrými hesly a pokud to jde, využijte dvoufázové ověřování. 

 

Diskuze (88) Další článek: MSI láká novým chladičem Twin Frozr V na GeForce GTX 900

Témata článku: Apple, Web, Cloud, Bezpečnost, Heslo, Dvoufázové ověření, Únik dat, iCloud, SLA, Uživatelská data, Celebrity, APP, Apple iPhone, Apple.com, Uživatelský účet, Osvěta, Apple icloud, M/s, Celebrita, Jennifer Lawrence, Opakovaný pokus, Fotka, Únik, Dvoufázové ověřování, Malá šance, Apple iphone na Mall.cz


Určitě si přečtěte

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

** Domácí 3D tisk je dnes už finančně dostupný prakticky všem ** Lacinou tiskárnu pořídíte za pár tisíc korun ** Jak vlastně tisk probíhá a jak navrhnout, co vytisknout

Jakub Čížek | 66

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

Windows 10 po čtyřech letech: Jsou populární, ale stále je to šílený kočkopes

** Windows 10 tu jsou už čtyři roky, první verze dorazila 29. 7. 2015 ** Desítky měly nahradit neúspěšnou řadu Windows 8.x ** I po letech však systém budí emoce a zůstává kočkopsem

Jakub Čížek | 111

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 92



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF