Arstechnica сообщает как минимум об одном другом пользователе iTunes, который также утверждает, что стал жертвой мошеннических списаний со счета в App Store, возможно, со стороны разработчика.
Читатель Ars Харпер Рид связался с нами, чтобы подробно описать проблему. Его учетная запись была использована ранее сегодня для покупки 34 приложений WiiSHii Network без его разрешения, на общую сумму 168,89 долларов США. Приложения, по всей видимости, в основном представляют собой путеводители по городам Китая и выпускаются как на английском, так и на китайском языках — как ни странно, Рид приобрел оба варианта.
Параллельно с этой активностью, произошедшей сегодня, приложения WiiSHii также набирают популярность в разделе путешествий, что предполагает, что учетная запись Рида могла быть не единственной скомпрометированной. Приложения WiiSHii ранее уже отмечались как подозрительные TheNextWeb.
Эта новость появилась вскоре после другого сообщения о подобной мошеннической деятельности со стороны другого разработчика. В том случае Apple заблокировала учетную запись этого разработчика, сообщила, что затронуто всего 400 учетных записей, и отрицала взлом серверов Apple iTunes. Аналитики предполагали, что источником информации для учетных записей стал фишинг:
«Стандартные фишинговые атаки», — сказал Салливан, когда его попросили предположить наиболее вероятный способ получения Нгуеном доступа к учетным записям iTunes. «Это гораздо вероятнее, чем взлом учетных записей или базы данных Apple», — добавил он.
По данным F-Secure, примерно 20% онлайн-пользователей используют один и тот же пароль для нескольких учетных записей, поэтому, если этот пароль украден, это открывает доступ ко всем учетным записям этого пользователя. В данном случае пароль Рида, очевидно, не был легко угадываемым словом, но не было никаких указаний на то, использовал ли он свой пароль где-либо еще в Интернете.
Согласно одному сообщению на форуме, украденная информация об учетных записях iTunes легко доступна для продажи на некоторых китайских веб-сайтах. Если это правда, то люди, фактически крадущие учетные записи, и те, кто их использует, могут быть разными. Основываясь на единственном наблюдении, также невозможно с уверенностью сказать, что разработчик стоял за атаками, хотя он имел наибольшую выгоду. Тем не менее, маловероятно, что они получат выгоду от своих усилий, поскольку Apple почти наверняка заблокирует их учетную запись, если они окажутся ответственными.
