Hlavní navigace

Apple: za únikem snímků celebrit stojí cílená krádež hesel, iCloud nepodlehl

Autor: Isifa
Daniel Dočekal

Tiskové prohlášení Applu únik nahých fotografií stovky amerických celebrit označuje za „velmi cílený útok“ na jména, hesla a bezpečnostní otázky.

V BusinessWire, službě pro šíření tiskových zpráv, se objevilo prohlášení Applu, ve kterém firma komentuje vyšetřování úniku soukromých fotografií celebrit (viz Jaké poučení plyne z úniku nahých fotek amerických celebrit?).

Po více než 40 hodinách zkoumání toho, jak k úniku došlo, firma zjistila, že šlo o „cílený útok na uživatelská jména, hesla a bezpečnostní otázky“. Apple v prohlášení zároveň uvádí, že její vývojáři v rámci šetřeni nepřišli na žádné narušení systému Apple, ať už jde o iCloud nebo Find my iPhone. Z vyjádření ovšem vyplývá, že Apple mohl prozkoumat jen část napadených účtů.

September 02, 2014 02:30 PM Eastern Daylight Time CUPERTINO, Calif.–(BUSINESS WIRE)--

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved. 

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.

V souvislosti s bezpečnostními otázkami je dobré připomenout, že už řadu let patří k velmi rizikovému prvku zabezpečení. A paradoxně to byl právě Apple, který před měsíci začal vyplnění bezpečnostních otázek od všech uživatelů vyžadovat.

Je běžné, že u řady lidí dnes odpovědi na bezpečnostní otázky najdete na jejich sociálních profilech. Nebezpečné je i to, že bezpečnostní otázky jsou většinou předem jasně definované a nemůžete si je určit sami. Jen málo uživatelů také ví, že na otázky nemají dávat „správnou“ odpověď, ale vymyslet si odpovědi dostatečně nesmyslné, které není možné uhodnout či nějak jinak získat.

Dvou-faktorová autentizace?

Funkci Find My Phone Apple zmiňuje, protože jednou z možných variant úniku, která je v médiích často zmiňována, je využití pomůcky pro „brute force“ útok na hesla právě přes službu Find My iPhone. Ta měla obsahovat zásadní bezpečnostní nedostatek, který útočníkům umožňoval zkoušet hesla bez jakéhokoliv omezení. 

UX17_snitker

Ochranou před podobným útokem bývá už řadu let to, že služba po určitém počtu špatných pokusů o přihlášení takový postup znemožní či zpomalí. A v případě dalšího pokračování pokusů případně zablokuje účet, dokud jej uživatel bezpečnějším postupem neodblokuje.

Apple v tiskovém prohlášení doporučuje používat silná hesla a dvou-faktorovou autentizaci. Bohužel právě toto poslední doporučení v České republice využít nemůžeme. Apple tento způsob dodatečné ochrany účtů pro Česko nenabízí. Facebook, Google, Linkedin i Twitter například ano.

Našli jste v článku chybu?
3. 9. 2014 7:55
kam (neregistrovaný)

BFU celebrity si ukladaji na cloud nezasifrovana data s hambatyma fotkama. Vzdy to skonci takto :)

4. 9. 2014 9:06
Spotřebitel (neregistrovaný)

" Kalhoty doblý, ty moc velkej!"

Chyba je vždy na uživateli: V botách chodí i ve špatném počasí, zipy moc otevírá a zavírá, textilní výrobky moc pere a čistí...