미할 즈단스키 며칠간의 Apple 내부 조사 끝에 회사는 다음과 같은 성명을 발표했습니다. 일부 유명인의 iCloud 계정 해킹, 그의 섬세한 사진이 대중에게 유출되었습니다. Apple에 따르면, 사진은 iCloud 및 Find My iPhone 서비스를 해킹하여 유출된 것이 아니며, 해커가 사진을 획득한 방식으로 캘리포니아 회사의 엔지니어가 사용자 이름, 비밀번호 및 보안 질문에 대한 표적 공격을 결정했습니다. 그러나 그들은 iCloud 사진을 어떻게 얻었는지에 대해서는 언급하지 않았습니다.
Wired에 따르면 해당 비밀번호는 정부 기관에서 사용하는 포렌식 소프트웨어를 사용하여 해독되었습니다. 게시판에서 익명-IB, 여러 유명인 사진이 등장한 가운데 일부 회원은 자신을 대신하여 소프트웨어 사용에 대해 공개적으로 논의했습니다. ElcomSoft 전화 비밀번호 차단기. 이를 통해 획득한 사용자 이름과 비밀번호를 입력하여 iPhone 및 iPad에서 전체 백업 파일을 검색할 수 있습니다. Wired와 인터뷰한 보안 전문가에 따르면 사진의 메타데이터는 해당 소프트웨어의 사용과 일치합니다.
해커는 사용자 이름(Apple ID)과 비밀번호만 얻으면 되는데, 이는 앞서 언급한 프로그램을 사용한 방법 덕분에 얻은 것으로 보입니다. 아이브루트 공격자가 시도 횟수에 제한 없이 비밀번호를 추측할 수 있는 나의 iPhone 찾기 취약점도 함께 발견되었습니다. Apple은 취약점이 발견된 직후 패치를 적용했습니다. 해커 공격 피해자들이 휴대폰으로 전송된 코드를 입력해야 하는 2단계 인증을 사용하지 않은 점도 큰 역할을 했다. 2단계 인증은 iCloud 백업 및 사진 스트림 서비스에는 적용되지 않지만, 애초에 사용자 이름 비밀번호를 얻는 것이 훨씬 더 어려워집니다.
그러나 2단계 인증을 사용해도 iCloud는 이상적으로 보호되지 않습니다. 서버의 Michael Rose가 발견한 내용 투아, 사진 스트림, Safari 백업 및 이메일 메시지를 새 Apple 컴퓨터에 동기화할 때 새 컴퓨터에서 데이터에 접근했다는 경고가 사용자에게 표시되지 않습니다. Apple ID와 비밀번호를 알고 있어야만 사용자 모르게 언급된 콘텐츠를 다운로드할 수 있었습니다. 보시다시피 Apple의 클라우드 서비스에는 사용자가 2단계 인증으로 보호되고 있음에도 불구하고 여전히 일부 균열이 있습니다. 그런데 체코나 슬로바키아에서는 아직 사용할 수 없습니다. 결국, 이 사건 이후 애플의 주가는 4% 하락했습니다.
어떻게 미친듯이 간단한 비밀번호와 휴대폰에 있는 포르노 사진을 가지고 있는 두 명의 유명인이 이렇게 큰 회사의 주식을 움직일 수 있는지 믿을 수 없을 것입니다 :)
이는 사용자가 데이터와 상당한 양의 개인 정보를 손실했다는 사실에 중요한 부분을 차지하므로 이 경우 주가가 하락하는 것은 지극히 정상입니다. 최소한 보안에 주의를 기울이는 법을 배우는 것이며 우리 사용자는 최소한 괜찮은 것처럼 보일 것입니다 ;-).
따라서 일부 사전에 따라 자주 사용되는 모든 비밀번호를 시도하기 위해 시행착오 방법을 사용하는 iBrute 프로그램을 사용하여 비밀번호를 해독했습니다. 약점은 피해자가 사전 또는 취약한 비밀번호를 가지고 있었고 Apple이 내 전화 찾기(현재 수정됨)에서 이 방법(예: 분당 실패 시도 횟수를 제한하는 방식)을 차단하지 않았다는 것입니다. 일단 비밀번호가 있으면 원하는 것은 무엇이든 할 수 있습니다. 그러나 동일한 Apple ID를 사용하는 다른 기기의 등록 정보를 공개하지 않기 위해 EPPB 프로그램을 사용하여 iCloud에서 iPhone의 전체 백업을 다운로드하고 해당 프로그램을 사용하여 백업에서 사진을 추출했습니다. 결론 - 좋은 비밀번호는 필수입니다.
그것이 유료 이동이었다면 놀라지 않을 것입니다. 새로운 제품이 출시되기 며칠 전에 거대 Apple에 최대한 많은 흙을 던지고 있습니다. 그것은 또한 그것이 어떻게 될 수 있었는지에 대한 가능한 시나리오 중 하나입니다. 오늘날 주식에 대해 사람들이 흥미를 가지려면, 당신이 해야 할 일은 그것이 얼마나 민감한지 깨닫는 것뿐입니다. 하지만 최고가 되는 사람은 항상 혼란에 빠질 뿐, 변하지 않습니다.
이는 사용자가 데이터와 상당한 양의 개인 정보를 손실했다는 사실에 중요한 부분을 차지하므로 이 경우 주가가 하락하는 것은 지극히 정상입니다. 최소한 보안에 주의를 기울이는 법을 배우는 것이며 우리 사용자는 최소한 괜찮은 것처럼 보일 것입니다 ;-).
물론, Apple은 어떠한 비용도 지불하지 않습니다. 무슨 수를 써서라도 의회를 방어하지 마세요. 벌써부터 당황스럽네요. 방금 공유했어요
바로 오늘 "checkauth@apple.com"으로부터 이메일을 받았습니다. Apple과 똑같이 생겼으며, 내가 사용하지도 않는 애플리케이션이 내 계정에서 다운로드되었다고 나옵니다. 비밀번호를 변경하려고 했더니 Apple.com처럼 보이는 페이지로 리디렉션되었지만 URL 주소는 확실히 다릅니다.