Ондрей Хольцман На початку вересня компанія Apple вирішила дуже неприємну проблему з витоком чутливих фотографій з облікових записів iCloud відомих знаменитостей. Не був Хоча сервіс як такий зламаний, раніше Apple могла уникнути вразливості у вигляді можливості вводити пароль нескінченну кількість разів. Просто послухайте лондонського експерта з безпеки Ібрагіма Баліча.
Лондонський дослідник безпеки Баліч повідомив Apple про потенційну проблему задовго до того, як хакери фактично виявили недолік iCloud вони скористалися. Пакувальник за матеріалами The Daily Dot Apple повідомила ще в березні і описала проблему безпеки саме в своєму електронному листі.
У електронному листі співробітникам Apple від 26 березня Баліч написав:
Я знайшов нову проблему, пов’язану з обліковими записами Apple. Використовуючи атаку грубої сили, я можу спробувати більше двадцяти тисяч разів ввести паролі до будь-якого облікового запису. Я вважаю, що тут слід застосувати обмеження. Додаю скріншот. Я знайшов ту саму проблему в Google і отримав від них відповідь.
Саме завдяки нескінченному введенню паролів хакери нарешті знайшли паролі відомих особистостей, мабуть, вони зламали облікові записи iCloud. Співробітник Apple відповів Балічу, що знає про інформацію, і подякував йому за це. Окрім електронної пошти, Баліч також повідомив про проблему через спеціальну сторінку, присвячену повідомленням про помилки.
Apple нарешті відповіла в травні, написавши Балічу: «Виходячи з наданої вами інформації, схоже, що пошук робочого маркера автентифікації для облікового запису займе дуже багато часу. Чи вважаєте ви, що знаєте спосіб, який міг би надати доступ до облікового запису за прийнятний проміжок часу?»
Інженер із безпеки Apple Брендон, очевидно, не сприйняв відкриття Баліча як велику загрозу. «Я вважаю, що вони не повністю вирішили проблему. Вони постійно казали мені, щоб я показував їм більше", - сказав Баліч.
Цікаво, що після поломки його можна було відремонтувати один-два рази.
В Apple є просто зухвалі люди, які думають, що вони щось більше, ніж інші.
Отже, перш за все, дурний той, хто встановлює пароль 12345. Я б не став його демонізувати. Apple блокує обліковий запис після повторного введення неправильного пароля, що означає, що з нього все ще відбувається вихід.
Не так давно у певного банку (я думаю FIO) була подібна проблема. Логін клієнта являв собою послідовність цифр, і після введення пароля втретє обліковий запис блокувався, і клієнту доводилося йти в банк, щоб скинути його. Ну що не сталося? Хтось просто перевірив номери та заблокував усі облікові записи.
Щось подібне може статися і з Apple. Хтось передасть велику повагу та заблокує їх. Отже, наскільки дратує скидання пароля iCloud?
IMO це функція для захисту ідіотів, вона просто дратує інших.
На мою думку, є 2 розумних рішення:
1. не дозволяти користувачам використовувати прості паролі та залишати нескінченну кількість спроб входу.
2. після x-го введення неправильного пароля запропонувати користувачеві або авторизацію через мобільний телефон, електронну пошту, скидання пароля iCloud АБО чекати x годин до наступної спроби, і в зв'язку з цим попередити користувача та Apple про кілька помилкових введені паролі.
Безумовно, було неправильно залишати все на місці, дозволяти користувачам використовувати прості паролі та дозволяти нескінченну кількість спроб їх введення. Зрозуміло, що самі люди винні, але компанія повинна змиритися з тим, що люди дурні.
Безпека дійсно була на дуже низькому рівні. Так само, як ви повинні захистити себе від хакерів, тому що хтось завжди може напасти, ви також повинні захистити себе від дурних користувачів, тому що вони завжди будуть..
Наприклад, друге рішення призведе до того, що якщо хтось спробує ввести паролі та заблокує облікові записи, їхні служби перестануть працювати для постраждалих користувачів. Немає синхронізації з iCloud. Як ви думаєте, це краще? Для таких великих систем практично немає ідеального рішення, скоріше лише найменш проблематичне.
Apple задерла носа, і вся справа в iMoney.
Тут для різноманітності я збираюся виправити bash.
Якби у Джобса була можливість повернутися у світ, перше, що він зробив би, це звільнив принаймні половину керівництва Apple, імовірно, у цьому керівництві взагалі нікого не залишилося б, тому що те, що ця дівчина робить у ця компанія, ось що, це справді пік, і, як я вже сказав, навіть така людина, як Джобс, дуже помилявся :-( Джобса вже звільняли з Apple один раз у його житті, і все вийшло дуже погано, а коли він повернувся, Apple знову запрацювала, але на жаль, тепер вони не повернуться, насправді винен той, хто буде над ними стояти і бити їх по голові та порізати руки