Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Екатерина Быстрова 22 Июня 2021 - 10:20

Домашние пользователи

Парольная защита (пароли)

Средства генерации одноразовых паролей (OTP)

Уязвимости программ

...

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud.

По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Когда вы пытаетесь сбросить пароль для iCloud-аккаунта, вас просят подтвердить телефонный номер или адрес электронной почты. Для этого Apple отправит вам шестизначный код, который нужно будет ввести в специальное поле.

Таким образом, злоумышленник, задумавший взломать учётную запись жертвы, должен сначала выведать её телефонный номер или имейл. Потом потребуется как-то угадать отправленный шестизначный код или же подобрать его, на что может уйти около миллиона различных комбинаций.

Чтобы защитить аккаунты пользователей от брутфорса, Apple ограничила число попыток ввода кода. В итоге у владельца учётной записи (или преступника) есть всего пять попыток. Дополнительно купертиновцы ввели лимит на POST-запросы к одному серверу с одного IP-адреса — таких запросов допускается всего шесть.

Тем не менее Лаксман Матья обнаружил, что потенциальный атакующий может отправлять запросы при помощи облачных сервисов. Такой подход уже открывал возможность для брутфорса шестизначного кода.

Исследователь сообщил о проблеме представителям Apple ещё в июле 2020 года, а патч при этом вышел аж в апреле 2021-го. Apple поступила странно, даже не уведомив Матья о выпуске заплатки. Более того, техногигант отметил:

«В зоне риска лишь очень ограниченное число аккаунтов пользователей, поскольку атака сработает лишь в том случае, если пользователь никогда не входил в аккаунт с устройств iPhone, iPad или Mac, защищённых паролем».

Это не убедило Матья, который остался при своём мнении: корпорация просто попыталась скрыть факт наличия критической уязвимости. Также эксперт отказался от передоложенного вознаграждения в размере 18 тысяч долларов, поскольку считает, что ему должны выплатить $100 000 или даже $350 000.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Мая 2026 - 16:34

Общее

20 трлн руб. на руках: россияне снова переходят на кеш, банки напряглись

Российский бизнес и потребители стали возвращаться к наличным расчётам. Сбер уже бьёт тревогу: финансовая система за последние годы привыкла к безналичной белой экономике, а теперь часть оборота снова уходит в кеш. Банк России фиксирует тот же тренд.

К концу апреля объём наличных на руках вырос до 20 трлн рублей, что на 700 млрд рублей больше, чем в марте. В первой половине мая через кассы и банкоматы в экономику поступило ещё 330 млрд рублей.

Сильнее всего наличные возвращаются в продуктовый ретейл, мебельный бизнес, строительство, гостиницы и автотовары. По данным «Платформы ОФД», в первом квартале доля кеша в этих сегментах превысила 35%.

Причин несколько. Первая — отключения мобильного интернета; если связь нестабильна, карта и приложение банка внезапно превращаются в красивую, но бесполезную картинку. Вторая — опасения из-за возможного усиления налогового контроля за переводами. Люди услышали про интерес ФНС к этой теме и решили, что лучше бумажные деньги в руках, чем лишние следы в цифре.

Но у налички есть неприятный побочный эффект. Чем больше кеша в обороте, тем проще появляются схемы вроде «скидка без чека», оплаты мимо кассы, дробления платежей и фиктивных возвратов. То есть вместе с купюрами возвращается и старая добрая серая зона.

Бизнесу тоже не всегда удобно. Наличные надо хранить, пересчитывать, инкассировать, а это дополнительные расходы и риски. В гостиничном и ресторанном сегменте рост уже заметен: например, владельцы отелей говорят, что гости чаще платят наличными в ресторанах, где суммы ниже, чем за проживание.

Аналитики допускают, что до конца 2026 года доля наличных расчётов может удержаться на уровне 28-31%. Активнее всего кеш будут использовать малый и средний бизнес, а также обычные потребители.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!