Η Apple επιδιόρθωσε ένα exploit του Find My iPhone που επέτρεψε στους hackers να αποκτήσουν πρόσβαση σε προσωπικές φωτογραφίες που ήταν αποθηκευμένες σε λογαριασμούς iCloud. Το πρωί μάθαμε για την μαζική διαρροή φωτογραφιών από περίπου 100 διασημότητες.
Κατά τη διάρκεια των τελευταίων 12 ωρών το διαδίκτυο έχει πλημμυρίσει με πολύ προσωπικές φωτογραφίες που ανήκουν σε διασημότητες. Anonymous χρήστες από το 4chan ισχυρίζονται ότι έχουν αρπάξει αρκετές φωτογραφίες από περίπου 100 εκτεθειμένους λογαριασμούς διασημοτήτων στο iClοud. Στη λίστα όπως ανέφερε πρώτο το iGuRu.gr το πρωί συμπεριλαμβάνονται οι Jennifer Lawrence, Ariana Grande, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst και Selena Gomez.
Πως;
Εντελώς συμπτωματικά, μια ημέρα πριν από τη διαρροή, ανέβηκε στο GitHub ο κώδικας για το AppleID password bruteforce καθώς και ένα proof-of-concept (PoC).
[tweet_embed id=505743531789406208]
Ο κώδικας που διέρρευσε μπορεί να πραγματοποιήσει exploit σε μια ευπάθεια στη σελίδα του Find My iPhone που επέτρεψε στους hackers να δοκιμάζουν συνεχώς κωδικούς πρόσβασης στους λογαριασμούς των θυμάτων τους, χωρίς η σελίδα να τους αποκλείει την σύνδεση. Για αυτό χρησιμοποίησαν τεχνικές bruteforcing, και έτσι μπόρεσαν ανενόχλητοι να ανακαλύψουν τους κωδικούς πρόσβασης των διασημοτήτων. Όλα τα άλλα είναι εύκολα, καθώς τα emails που χρειάζονται σαν ονόματα σύνδεσης, μπορεί να τα ανακαλύψει ο οποιοσδήποτε πολύ εύκολα.
Η Apple κατάφερε να επιδιορθώσει το exploit (παράξενο που αντέδρασε αμέσως, αλλά θα μου πείτε τα θύματα δεν ήταν κοινοί θνητοί), όταν πλέον ήταν αργά. Φανταστείτε τι περιείχαν οι λογαριασμοί του iClοud. Εκτός από τις φωτογραφίες, οι hackers σίγουρα ανακάλυψαν και άλλα ευαίσθητα δεδομένα, όπως τις λίστες επαφών με τηλέφωνα ονοματεπώνυμα και emails.
Δεν θα ήταν περίεργο να ακολουθήσουν αρκετές στοχευμένες επιθέσεις phishing σε ονόματα που περιείχαν οι επαφές των θυμάτων…