Ondrejus Holzmanas Rugsėjo pradžioje Apple išsprendė labai nemalonią problemą su jautrių nuotraukų nutekėjimu iš žinomų įžymybių iCloud paskyrų. Nebuvo nors pati paslauga sugenda, Apple anksčiau sugebėjo išvengti pažeidžiamumo dėl galimybės įvesti slaptažodį be galo daug kartų. Tiesiog klausykite Londone gyvenančio saugumo eksperto Ibrahimo Baličiaus.
Londone dirbantis saugumo tyrinėtojas Baličius informavo „Apple“ apie galimą problemą gerokai anksčiau nei įsilaužėliai iš tikrųjų atrado „iCloud“ silpnumą. jie pasinaudojo. Pakuotojas rašo „The Daily Dot“. „Apple“ informavo dar kovo mėnesį ir tiksliai aprašė saugumo problemą savo el.
Kovo 26 d. laiške Apple darbuotojams Balic rašė:
Radau naują problemą, susijusią su „Apple“ paskyromis. Naudodamas brutalios jėgos ataką galiu daugiau nei dvidešimt tūkstančių kartų bandyti įvesti slaptažodžius bet kurioje paskyroje. Manau, kad čia turėtų būti taikomas apribojimas. Pridedu ekrano kopiją. Tą pačią problemą radau Google ir gavau iš jų atsakymą.
Būtent be galo įvedant slaptažodžius, kurių dėka įsilaužėliai pagaliau surado žinomų asmenybių slaptažodžius, matyt, įsilaužė į „iCloud“ paskyras. „Apple“ darbuotojas Balicui atsakė, kad jam ši informacija buvo žinoma, ir padėkojo už tai. Be el. pašto, Balic taip pat pranešė apie problemą per specialų puslapį, skirtą pranešimams apie klaidas.
„Apple“ galiausiai atsakė gegužę, parašydama Balic: „Remiantis jūsų pateikta informacija, atrodo, kad prireiktų be galo daug laiko surasti veikiančią paskyros autentifikavimo prieigos raktą. Ar manote, kad žinote metodą, kuris galėtų suteikti prieigą prie paskyros per pagrįstą laiką?
Panašu, kad „Apple“ saugumo inžinierius Brandonas Baličiaus atradimo nesukėlė grėsmės. „Manau, kad jie iki galo neišsprendė problemos. Jie man vis sakydavo, kad parodyčiau jiems daugiau“, – pasakojo Baličius.
Įdomu, kad sugedus būtų galima vieną ar du kartus suremontuoti.
„Apple“ yra tiesiog pasipūtusių žmonių, kurie mano, kad jie yra kažkas daugiau nei kiti.
Taigi, visų pirma, asmuo, kuris nustato slaptažodį 12345, yra kvailas. „Apple“ blokuoja paskyrą antrą kartą įvedusi neteisingą slaptažodį, o tai reiškia, kad ji vis dar atsijungiama.
Ne taip seniai tam tikras bankas (manau, kad FIO) turėjo panašią problemą. Kliento prisijungimo vardas buvo skaičių seka, o trečią kartą įvedus slaptažodį, sąskaita buvo užblokuota ir klientui teko vykti į banką jos atstatyti. Na, kas neįvyko? Kažkas tiesiog paleido numerius ir užblokavo visų paskyrą.
Kažkas panašaus gali nutikti ir Apple. Kažkas pagerbs ir užblokuos juos. Taigi, kaip erzina „iCloud“ slaptažodžio nustatymas iš naujo?
IMO tai yra funkcija, skirta apsaugoti idiotus, ji tiesiog erzina kitus.
Mano nuomone, yra 2 pagrįsti sprendimai:
1. neleisti vartotojams naudoti paprastų slaptažodžių ir palikti begalinį skaičių bandymų įvesti.
2. po x-ojo neteisingo slaptažodžio įvedimo pasiūlykite vartotojui autorizaciją mobiliuoju telefonu, el. paštu, iCloud slaptažodžio nustatymą iš naujo ARBA palaukite x valandų iki kito bandymo ir dėl to įspėkite vartotoją ir Apple apie kelis neteisingus įvesti slaptažodžiai.
Tikrai nebuvo teisinga leisti viskam būti, leisti vartotojams naudoti paprastus slaptažodžius ir leisti be galo daug bandymų juos įvesti. Aišku, kad kalti patys žmonės, bet įmonė turi susitaikyti, kad žmonės kvaili.
Apsauga tikrai buvo labai prasto lygio. Kaip reikia apsisaugoti nuo įsilaužėlių, nes kas nors visada gali užpulti, taip pat reikia apsisaugoti nuo kvailų vartotojų, nes tokių visada bus.
Pavyzdžiui, antrasis sprendimas lemtų tai, kad jei kas nors bandytų slaptažodžius ir užblokuotų paskyras, jų paslaugos nustotų veikti paveiktiems vartotojams. Nėra sinchronizavimo su „iCloud“. Ar manote, kad tai geriau? Tokioms didelėms sistemoms tobulo sprendimo praktiškai nėra, veikiau tik mažiausiai probleminį.
„Apple“ pakėlė nosį ir viskas apie „iMoney“.
Čia pakeitimui aš pataisysiu bash.
Jei Jobsas turėtų galimybę sugrįžti į pasaulį, pirmas dalykas, kurį jis padarytų, būtų atleisti bent pusę „Apple“ vadovybės, greičiausiai toje vadovybėje išvis nebeliktų nė vieno, nes ką ta mergina veikia ta kompanija, tai tai tikrai pikas, o kaip sakau, net toks zmogus kaip Jobsas ten labai klydo :-( Jobsas jau karta gyvenime buvo atleistas is Apple ir gavosi labai blogai, o kai grįžo „Apple“ vėl dirbo, bet, deja, jie dabar negrįš, tikrai kaltas žmogaus, kuris stovės virš jų ir muš į galvą ir pjaus rankas