Ondrej Holzman Đầu tháng 9, Apple đã giải quyết được một vấn đề rất khó chịu với việc rò rỉ ảnh nhạy cảm từ tài khoản iCloud của những người nổi tiếng. Không phải Mặc dù dịch vụ như vậy đã bị hỏng nhưng Apple đã từng có thể tránh được lỗ hổng này nhờ khả năng nhập mật khẩu vô số lần. Hãy lắng nghe chuyên gia bảo mật Ibrahim Balic ở London.
Nhà nghiên cứu bảo mật Balic có trụ sở tại London đã thông báo cho Apple về vấn đề tiềm ẩn từ rất lâu trước khi tin tặc thực sự phát hiện ra điểm yếu trong iCloud họ đã lợi dụng. Người đóng gói theo The Daily Dot Apple đã thông báo lại vào tháng 3 và mô tả chính xác vấn đề bảo mật trong email của mình.
Trong email ngày 26 tháng XNUMX gửi tới nhân viên Apple, Balic đã viết:
Tôi tìm thấy một vấn đề mới liên quan đến tài khoản Apple. Bằng cách sử dụng một cuộc tấn công vũ phu, tôi có thể thử hơn hai mươi nghìn lần để nhập mật khẩu vào bất kỳ tài khoản nào. Tôi nghĩ nên áp dụng một hạn chế ở đây. Tôi đang đính kèm một ảnh chụp màn hình. Tôi đã tìm thấy vấn đề tương tự trên Google và nhận được câu trả lời từ họ.
Chính bằng cách nhập mật khẩu không ngừng, nhờ đó mà cuối cùng tin tặc đã tìm ra mật khẩu của những nhân vật nổi tiếng, rõ ràng là họ đã đột nhập vào tài khoản iCloud. Một nhân viên Apple trả lời Balic rằng anh đã biết thông tin này và cảm ơn ông vì điều đó. Ngoài e-mail, Balic cũng báo cáo sự cố thông qua một trang đặc biệt dành riêng cho việc báo cáo lỗi.
Apple cuối cùng đã trả lời vào tháng 5, viết thư cho Balic: “Dựa trên thông tin bạn cung cấp, có vẻ như sẽ mất một khoảng thời gian quá lớn để tìm thấy mã thông báo xác thực hoạt động cho tài khoản. Bạn có tin rằng bạn biết một phương pháp có thể cung cấp quyền truy cập vào tài khoản trong một khoảng thời gian hợp lý không?'
Kỹ sư bảo mật của Apple, Brandon, rõ ràng không coi phát hiện của Balic là một mối đe dọa lớn. “Tôi tin rằng họ chưa giải quyết được hoàn toàn vấn đề. Họ liên tục bảo tôi cho họ xem nhiều hơn", Balic nói.
Điều thú vị là sau khi phá vỡ nó có thể được sửa chữa một hoặc hai lần.
Chỉ có những người tự mãn ở Apple nghĩ rằng họ cao quý hơn những người khác.
Vì vậy, trên hết, người đặt mật khẩu 12345 thật ngu ngốc, tôi sẽ không bôi nhọ nó. Apple chặn tài khoản sau khi nhập sai mật khẩu lần thứ hai, nghĩa là tài khoản vẫn đang bị đăng xuất.
Đã lâu rồi mới có một ngân hàng nào đó (tôi nghĩ là FIO) gặp phải vấn đề tương tự. Tên đăng nhập của khách hàng là một dãy số, sau khi nhập mật khẩu lần thứ 3 thì tài khoản bị khóa và khách hàng phải đến ngân hàng để đặt lại. Vâng, điều gì đã không xảy ra? Ai đó vừa chạy số và chặn tài khoản của mọi người.
Điều gì đó tương tự có thể xảy ra với Apple. Ai đó sẽ vượt qua rất nhiều sự tôn trọng và chặn họ. Vậy việc đặt lại mật khẩu iCloud gây khó chịu như thế nào?
IMO đây là tính năng để bảo vệ những kẻ ngốc, nó chỉ gây khó chịu cho người khác.
Theo tôi có 2 giải pháp hợp lý:
1. không cho phép người dùng sử dụng mật khẩu đơn giản và không cho phép người dùng thử nhập vô số lần.
2. sau lần nhập sai mật khẩu thứ x, hãy đề nghị người dùng ủy quyền qua điện thoại di động, e-mail, đặt lại mật khẩu iCloud HOẶC đợi x giờ cho đến lần thử tiếp theo và liên quan đến điều này, hãy cảnh báo người dùng và Apple về một số sai sót mật khẩu đã nhập.
Chắc chắn là không đúng khi để mọi thứ như vậy, cho phép người dùng sử dụng các mật khẩu đơn giản và cho phép vô số lần thử nhập chúng. Rõ ràng là người có lỗi nhưng công ty phải chấp nhận rằng con người thật ngu ngốc.
An ninh thực sự ở mức rất kém. Cũng giống như bạn phải bảo vệ mình khỏi tin tặc, bởi vì ai đó luôn có thể tấn công, bạn cũng phải bảo vệ mình khỏi những người dùng ngu ngốc, bởi vì sẽ luôn có những kẻ đó..
Ví dụ: giải pháp thứ hai sẽ dẫn đến thực tế là nếu ai đó thử mật khẩu và chặn tài khoản, dịch vụ của họ sẽ ngừng hoạt động đối với những người dùng bị ảnh hưởng. Không đồng bộ hóa với iCloud. Bạn có nghĩ điều này tốt hơn không? Đối với những hệ thống lớn như vậy, thực tế không có giải pháp hoàn hảo mà chỉ có giải pháp ít vấn đề nhất.
Apple đã chú ý và tất cả đều là về iMoney.
Ở đây để thay đổi, tôi sẽ sửa lỗi bash.
Nếu Jobs có cơ hội quay trở lại thế giới, việc đầu tiên ông sẽ làm là sa thải ít nhất một nửa ban lãnh đạo ở Apple, có lẽ sẽ chẳng còn ai trong ban lãnh đạo đó cả, bởi những gì cô gái đó đang làm trong công ty đó, đúng rồi, nó thực sự là một đỉnh cao, và như tôi nói, ngay cả một người như Jobs cũng đã rất sai lầm ở đó :-( Jobs đã bị sa thải khỏi Apple một lần trong đời và mọi chuyện trở nên thực sự tồi tệ, và khi ông ấy quay trở lại, Apple đã làm việc trở lại, nhưng đáng tiếc là bây giờ họ sẽ không quay lại, thực sự là lỗi của người sẽ đứng ra đánh vào đầu và cắt tay họ