$
אינטרנט

דליפת התמונות הגדולה התבססה על פרצה בענן של אפל

לאחר שתמונות עירום של סלבריטאיות כג'ניפר לורנס ואחרות דלפו לרשת, הוערך בתחילה כי דובר בפריצה לחשבונות שלהן. עתה מתגלה כי ההאקרים השתמשו בנקודת תורפה לא ידועה במערכות אפל - שבודקת את הנושא

ניצן סדן 09:2302.09.14

האם התמונות שלכם שמאוחסנות בשרתי אפל בטוחות מפני האקרים? לפי דיווח של אתר TheNextWeb, התשובה שלילית. אתמול נודע כי תמונות עירום שצילמו מספר שחקניות הוליוודיות כג'ניפר לורנס ודוגמניות כקייט אפטון דלפו לרשת. בעוד שבתחילה הוערך שההאקרים השיגו אותן ישירות ממכשירי הסלבריטאיות, עתה נודע כי הפורצים דלו אותן משרתי אפל.

 אמש פרסם אלמוני בפורום GitHub סקריפט פייתון שנועד לבצע פריצה לשרתי אפל תוך שימוש בטכניקת ניחוש סיסמאות אקטיבי. מדובר בשיטה שמכונה התקפת Brute Force בשל האופי הגלוי שלה; מערכות ממוגנות יודעות שמשתמשים לא נוהגים להזין מספר עצום של סיסמאות שגויות לפני שהם קולעים לסיסמה הנכונה. ואולם, שירות Find My iPhone הפופולרי של אפל לא מוגן כהלכה.

 

חור בענן. iCloud חור בענן. iCloud

 

לפי הערכות מומחי אבטחה, הסקריפט שנחשף מאפשר להאקר לדלות את סיסמת המשתמש דרך Find My iPhone מבלי שאפל תקבל התרעה על כך ואז להיכנס לחשבון המשתמש ולהשיג כל תוכן שהעלה לשרתי אפל - במקרה הנוכחי, תמונות עירום.

 

אפל חוקרת - וגם ה-FBI

 

גולשי פורום גיטהאב ניסו את הסקריפט כדי לפרוץ לחשבונות שלהם-עצמם במטרה לבחון אותו ודיווחו על הצלחה. זמן קצר לאחר פרסום הסקריפט, ביצעה אפל עדכון במערכותיה והגולשים הודיעו שאינם יכולים לחדור עוד לחשבונות.

 

ההאקר הידוע בשם Hackapp, יוצר הסקריפט, אמר ל-TNW שמדובר בכלי שכל אדם בעל ידע בסיסי ברוורסינג (ניתוח כלים מקוונים לפענוח מבנה הפעולה שלהם) יכול לכתוב – מה שיעניק לו גישה לשירותים מקוונים שונים.

 

אפל הודיעה שתבדוק לעומק את פרצת האבטחה האמורה, על אף שנראה שתיקנה אותה. "אנו תופסים את נושא הפרטיות ברצינות רבה ופועלים אקטיבית לניתוח הדיווח", אמרה דוברת אפל לאתר Re/Code. עדיין לא ידוע כמה זמן היתה הפרצה חשופה ומי ניצל אותה.

 

בנוסף, נודע כי גם ה-FBI מעורבת בחקירה. הבולשת מנסה לאתר את ההאקר שפרסם את התמונות הגנובות במקור, לאור תלונות שהגישו המפורסמות.

בטל שלח
    לכל התגובות
    x