Αναφορές περί τρωτών σημείων στην υπηρεσία της, iCloud, τα οποία φέρονται να εκμεταλλεύτηκαν οι χάκερ που βρίσκονται πίσω από τη διαρροή προσωπικών φωτογραφιών και βίντεο διασημοτήτων διερευνά η Apple.
Αναφορές περί τρωτών σημείων στην υπηρεσία της, iCloud, τα οποία φέρονται να εκμεταλλεύτηκαν οι χάκερ που βρίσκονται πίσω από τη διαρροή προσωπικών φωτογραφιών και βίντεο διασημοτήτων διερευνά η Apple.
Όπως αναφέρεται σε δημοσιεύματα του Re/Code και της Wall Street Journal, εκπρόσωπος της εταιρείας δήλωσε ότι «λαμβάνουμε πολύ σοβαρά την ιδιωτικότητα των χρηστών μας και διερευνούμε ενεργά αυτή την αναφορά».
To iCloud αποτελεί μία οnline υπηρεσία της Apple για την αποθήκευση φωτογραφιών, μουσικής και άλλων δεδομένων από τις συσκευές της. Αυτή τη στιγμή το βασικό ερώτημα φαίνεται να είναι εάν αυτό που παραβιάστηκε ήταν το ίδιο το σύστημα της Apple στο σύνολό του (μέσω κάποιας «κερκόπορτας/ αχιλλείου πτέρνας») ή αν «απλά» οι χάκερ στόχευσαν και «έσπασαν» τους προσωπικούς λογαριασμούς των celebrities.
Σημειώνεται ότι οι φωτογραφίες – κάποιες εκ των οποίων φέρονται να είναι αληθινές, και κάποιες άλλες fakes- δημοσιεύθηκαν αρχικά στο 4Chan και στη συνέχεια ακολούθησε εξάπλωσή τους στο Web, μέσω εργαλείων κοινωνικής δικτύωσης (Twitter, Reddit κ.α.), αναρτήσεων σε ιστοσελίδες και blogs, torrents κ.α.
Η μεθοδολογία που χρησιμοποιήθηκε παραμένει άγνωστη- κάποιοι αναλυτές κάνουν λόγο για μία κατά πάσα πιθανότητα «ευθεία» επίθεση, η οποία θα μπορούσε να είχε «αποκρουστεί» εάν είχαν ληφθεί κάποια απλά μέτρα επιπλέον ασφαλείας από τους κατόχους των λογαριασμών (two-step ή two-factor verification). Κάποια δημοσιεύματα (The Next Web, The Verge κ.α.) κάνουν λόγο για πιθανή σύνδεση με ένα εργαλείο υπό την ονομασία iBrute, το οποίο φέρεται να ήταν ικανό να διεξάγει αυτόματα επιθέσεις brute-force εναντίον λογαριασμών στο iCloud, προσπαθώντας να «μαντέψει» επανειλημμένα έναν κωδικό μέχρι να επιτύχει.
Ειδικότερα, όπως αναφέρεται σε δημοσίευμα του The Next Web, στην ιστοσελίδα GitHub είχε εμφανιστεί ένα Python script που φερόταν να επιτρέπει σε χρήστες να «σπάσουν» μέσω επίθεσης brute-force (στην ουσία συνεχές και επανειλημμένο trial and error) κωδικούς λογαριασμών, εκμεταλλευόμενο ενός τρωτού σημείου στην υπηρεσία Find My iPhone. H εύρεση του κωδικού «άνοιγε τον δρόμο» για την απόκτηση πρόσβασης σε άλλες λειτουργίες του iCloud. Ωστόσο, όπως γράφτηκε στην ιστοσελίδα (και εκτιμάται από το The Next Web, συντάκτες του οποίου δοκίμασαν το εργαλείο), η Apple φαίνεται να έχει διορθώσει το πρόβλημα, περιορίζοντας τον αριθμό των αποπειρών για login σε ένα σύστημα. Επίσης, δεν υπάρχουν στοιχεία που να συνδέουν άμεσα το πρόγραμμα με το περιστατικό.
Όπως γίνεται εύκολα αντιληπτό, το όλο περιστατικό λειτούργησε καταλυτικά όσον αφορά στη συζήτηση περί της ασφάλειας στο cloud γενικότερα, το οποίο όλο και περισσότεροι χρησιμοποιούν για σκοπούς αποθήκευσης, μέσω υπηρεσιών όπως το Dropbox, το Google Drive, το OneDrive κ.α. Σε σχετικό δημοσίευμα του Mashable αναφέρεται ότι το κύριο και σημαντικότερο ερώτημα δεν είναι αν είναι αξιόπιστο ή όχι το iCloud ή οι άλλες αντίστοιχες υπηρεσίας, αλλά το αν οι ίδιοι οι χρήστες προσέχουν και ακολουθούν μεθόδους όπως η χρήση ασφαλών και μοναδικών κωδικών στους λογαριασμούς και τις συσκευές τους, η χρήση two-factor verification όταν είναι δυνατόν, η ενεργοποίηση «κλειδωμάτων» και κωδικών σε υπολογιστές και λογαριασμούς τηλεφώνων και η τακτική αναβάθμιση λειτουργικών συστημάτων.