Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Эксперт обвинил Apple в принижении уязвимости брутфорса пароля iCloud

Исследователь в области кибербезопасности Лаксман Матья обвинил Apple в непорядочном поведении, касающемся уязвимости в функции сброса пароля. Именно Матья выявил брешь, позволяющую получить контроль над аккаунтами iCloud.

По словам самого специалиста, обнаруженная дыра позволяла обойти меры безопасности, которые Apple внедрила для защиты учётных записей пользователей от брутфорса функции «забыл свой пароль».

Когда вы пытаетесь сбросить пароль для iCloud-аккаунта, вас просят подтвердить телефонный номер или адрес электронной почты. Для этого Apple отправит вам шестизначный код, который нужно будет ввести в специальное поле.

Таким образом, злоумышленник, задумавший взломать учётную запись жертвы, должен сначала выведать её телефонный номер или имейл. Потом потребуется как-то угадать отправленный шестизначный код или же подобрать его, на что может уйти около миллиона различных комбинаций.

Чтобы защитить аккаунты пользователей от брутфорса, Apple ограничила число попыток ввода кода. В итоге у владельца учётной записи (или преступника) есть всего пять попыток. Дополнительно купертиновцы ввели лимит на POST-запросы к одному серверу с одного IP-адреса — таких запросов допускается всего шесть.

Тем не менее Лаксман Матья обнаружил, что потенциальный атакующий может отправлять запросы при помощи облачных сервисов. Такой подход уже открывал возможность для брутфорса шестизначного кода.

Исследователь сообщил о проблеме представителям Apple ещё в июле 2020 года, а патч при этом вышел аж в апреле 2021-го. Apple поступила странно, даже не уведомив Матья о выпуске заплатки. Более того, техногигант отметил:

«В зоне риска лишь очень ограниченное число аккаунтов пользователей, поскольку атака сработает лишь в том случае, если пользователь никогда не входил в аккаунт с устройств iPhone, iPad или Mac, защищённых паролем».

Это не убедило Матья, который остался при своём мнении: корпорация просто попыталась скрыть факт наличия критической уязвимости. Также эксперт отказался от передоложенного вознаграждения в размере 18 тысяч долларов, поскольку считает, что ему должны выплатить $100 000 или даже $350 000.

Microsoft заблокировала взломанный аккаунт и похоронила 25 лет данных

Стример Джошуа Кейн лишился доступа к 25 годам цифровой жизни после взлома аккаунта Microsoft. Вместе с учётной записью пропали файлы из OneDrive, покупки и семейные фотографии, включая снимки его сына в младенчестве.

По словам Кейна, злоумышленник сменил данные безопасности аккаунта. Microsoft признала, что профиль действительно принадлежал ему и был взломан, но восстанавливать доступ отказалась.

В службе поддержки объяснили это внутренними правилами: если настройки безопасности изменены, сотрудники не могут вручную вернуть аккаунт владельцу. Блокировка объявлена постоянной, а связанные с профилем файлы — недоступными даже для инженеров Microsoft.

 

Корпорация также сообщила, что контент OneDrive невозможно извлечь из-за архитектуры шифрования и защиты конфиденциальности. Купленные игры и сервисы пользователю предложили приобрести заново на новом аккаунте. Максимально заботливо.

История быстро разлетелась по соцсетям: публикация Кейна набрала более 2 млн просмотров за 11 часов, а другие пользователи начали рассказывать о похожих случаях.

Формально правила Microsoft допускают блокировку аккаунта при подозрении на мошенническое использование. Но временная мера легко превращается в пожизненный цифровой бан, если хакер успел переписать данные для восстановления.

Сам Кейн признал, что недостаточно защитил аккаунт. Эта история ещё раз напоминает: двухфакторная аутентификация обязательна, а единственная копия важных файлов в облаке — не резервная копия.

Облако не украдут вместе с флешкой. Зато один взлом может отрезать от него владельца навсегда.

RSS: Новости на портале Anti-Malware.ru