Темой первого дня осени стал масштабный слив в сеть интимных снимков знаменитостей. Дженнифер Лоуренс, Бри Ларсон, Кирстен Данст и другие звезды предстали перед широкой общественностью без макияжа и одежды. Казалось бы, при чем тут Apple? А ведь источником как минимум части контента стало облачное хранилище iCloud, куда беспечные (и не лучшим образом подкованные технически) селебрити отправляли не предназначенные для чужих глаз фото и видео.
Продолжение истории не заставило себя ждать. Спустя сутки после появления первых публикаций частных фотоархивов, The Next Web рассказал про существование уязвимости сервиса Find My iPhone, позволяющей вычислить пароль к аккаунту iCloud.
Эксплойт был размещен в свободном доступе на сервисе Github еще два дня назад, но реакция Apple не заставила себя ждать — сегодня в 3:20 утра по тихоокеанскому времени уязвимость устранили. Утилита позволяла определить пароль методом подбора, что требует знания логина, немало времени и известной доли удачи. С учетом требований iCloud к паролям (не короче 8 символов, как минимум одна буква в верхнем регистре и одна цифра, запрещено повторение 3 одинаковых букв или цифр), для успеха пользователь должен был использовать какое-то очевидное сочетание вроде имени и нескольких цифр. Вероятно, большинство звезд из списка поступали именно так.
Даже при огромном желании хакеров заполучить фото- и видеоархивы звезд, двое суток явно недостаточно для взлома порядка 60 аккаунтов, да и судя по заявлениям пострадавших не весь контент хранился в iCloud (а некоторый был удален). Так что атака явно началась давно и была хорошо организована. Использовалась ли названная уязвимость Find My iPhone или какие-то другие способы доступа к приватным данным, сказать сложно. Но вероятность велика.
Для нас всех это еще один звоночек — пароли должны быть сложными и уникальными для всех сервисов, где хранятся персональные данные.
[9to5mac]