Apple знала об уязвимости безопасности iCloud за шесть месяцев до того, как она была использована для взлома аккаунтов знаменитостей в сервисе, сообщает The Daily Dot. Компания была уведомлена об этой уязвимости независимым исследователем безопасности Ибрагимом Баликом, который поделился электронной перепиской между собой и членами команды безопасности продуктов Apple.
В электронном письме от марта 2014 года Балик сообщил Apple, что ему удалось обойти систему безопасности любого аккаунта iCloud, используя метод хакерской атаки «грубой силы», который позволял перебирать более 20 000 комбинаций паролей. Балик рекомендовал Apple внедрить в iCloud функцию, которая блокирует вход после определенного количества неудачных попыток, и даже сообщил об уязвимости через систему Bug Reporter от Apple. Балик также был разработчиком, который, как сообщалось, стоял за длительным простоем центра разработчиков Apple в прошлом году.
В мае 2014 года Apple ответила Балику по электронной почте и поставила под сомнение достоверность уязвимости, заявив, что для обнаружения действительного токена аутентификации для доступа к аккаунту iCloud с использованием этой уязвимости «потребовалось бы чрезвычайно много времени». Балик утверждает, что Apple продолжала расспрашивать его об этой уязвимости и способах ее использования.
1 сентября 2014 года хакеры взломали аккаунты iCloud многих известных актрис, скачав и слив в сеть личные фотографии и видео. Хотя изначально не было известно, что вызвало взлом, издание The Next Web связало это с Python-скриптом на Github, который мог быть использован для взлома. Скрипт использовал метод, подобный грубой силе, который позволял хакерам продолжать угадывать пароли, не будучи заблокированными.
Позже в тот же день Apple признала, что расследует взлом, что в конечном итоге привело к комментариям генерального директора Тима Кука, а также к внедрению новых мер безопасности. Эти меры включали автоматические уведомления по электронной почте при доступе к аккаунтам iCloud через веб-браузеры, автоматическую двухфакторную аутентификацию для iCloud.com и обязательные пароли для конкретных приложений для сторонних приложений, получающих доступ к iCloud.
