Ондрей Хольцман В начале сентября Apple решила очень неприятную проблему с утечкой деликатных фотографий из аккаунтов iCloud известных знаменитостей. Небыла хотя сервис как таковой не работает, раньше Apple умела избегать уязвимости в виде возможности вводить пароль бесконечное количество раз. Просто послушайте лондонского эксперта по безопасности Ибрагима Балича.
Лондонский исследователь безопасности Балик уведомил Apple о потенциальной проблеме задолго до того, как хакеры обнаружили уязвимость в iCloud. они воспользовались. Пакер по данным Daily Dot Apple сообщила об этом еще в марте и описала проблему безопасности именно в своем электронном письме.
В электронном письме сотрудникам Apple от 26 марта Балич написал:
Я обнаружил новую проблему, связанную с учетными записями Apple. Используя брутфорс, я могу более двадцати тысяч раз попытаться ввести пароли к любому аккаунту. Я считаю, что здесь следует применить ограничение. Я прилагаю скриншот. Я нашел ту же проблему в Google и получил от них ответ.
Именно путем бесконечного ввода паролей хакеры наконец-то нашли пароли известных личностей, судя по всему, они взломали аккаунты iCloud. Сотрудник Apple ответил Баличу, что ему известна эта информация, и поблагодарил его за нее. Помимо электронной почты, Балич также сообщил о проблеме через специальную страницу, посвященную сообщениям об ошибках.
Apple, наконец, ответила в мае, написав Балику: «Исходя из предоставленной вами информации, похоже, что поиск рабочего токена аутентификации для учетной записи займет слишком много времени. Считаете ли вы, что знаете метод, который мог бы обеспечить доступ к учетной записи в разумные сроки?'
Инженер по безопасности Apple Брэндон, очевидно, не воспринял открытие Балича как угрозу. «Я считаю, что они не полностью решили проблему. Они продолжали говорить мне, чтобы я показал им больше», — сказал Балич.
Интересно, что после того, как он сломался, его можно было починить один или два раза.
В Apple есть просто дерзкие люди, которые думают, что они нечто большее, чем другие.
Итак, прежде всего, глуп человек, который устанавливает пароль 12345. Я бы не стал его демонизировать. Apple блокирует учетную запись после повторного ввода неправильного пароля, что означает, что выход из системы все еще продолжается.
Прошло не так много времени с тех пор, как у одного банка (думаю, FIO) возникла подобная проблема. Логин клиента представлял собой последовательность цифр, а после третьего ввода пароля учетная запись была заблокирована, и клиенту пришлось идти в банк для его сброса. Ну а что не произошло? Кто-то просто набрал номера и заблокировал всем аккаунты.
Нечто подобное может случиться и с Apple. Кто-то проявит большое уважение и заблокирует их. Итак, насколько раздражает сброс пароля iCloud?
ИМХО, это функция для защиты идиотов, она просто раздражает других.
На мой взгляд есть 2 разумных решения:
1. не разрешать пользователям использовать простые пароли и оставлять бесконечное количество попыток входа.
2. после х-го ввода неправильного пароля предложить пользователю либо авторизацию через мобильный телефон, электронную почту, сброс пароля iCloud ИЛИ подождать х часов до следующей попытки, и в связи с этим предупредить пользователя и Apple о нескольких неправильных попытках введенные пароли.
Было определенно неправильно оставлять все как есть, разрешать пользователям использовать простые пароли и разрешать бесконечное количество попыток их ввода. Понятно, что виноваты сами люди, но компания должна признать, что люди глупы.
Безопасность действительно была на очень плохом уровне. Точно так же, как вы должны защищать себя от хакеров, потому что кто-то всегда может атаковать, вы также должны защищать себя от глупых пользователей, потому что они всегда найдутся.
Например, второе решение приведет к тому, что если кто-то попробует пароли и заблокирует учетные записи, его сервисы перестанут работать для затронутых пользователей. Нет синхронизации с iCloud. Вы думаете, это лучше? Для таких больших систем практически не существует идеального решения, а есть только наименее проблемное.
Apple задирает нос, и все дело в iMoney.
Вот для разнообразия собираюсь поправить баш.
Если бы у Джобса была возможность вернуться в мир, первое, что он сделал бы, это уволил хотя бы половину руководства Apple, в этом руководстве, вероятно, вообще никого бы не осталось, потому что то, что эта девушка делает в та компания, вот она действительно пик, и как я говорю, даже такой человек, как Джобс, там сильно ошибался :-( Джобса уже один раз в жизни увольняли из Apple и получилось очень плохо, а когда он вернулся, Apple снова заработала, но увы, они теперь не вернутся, действительно виноват тот человек, который будет стоять над ними, бить по голове и резать руки