В среду мы сообщили, что Apple стала целью угрозы вымогательства: хакеры утверждали, что имеют доступ к более чем 600 миллионам учетных записей iCloud. Группа, известная как «Турецкая мафиозная семья», заявила, что сбросит и удалит учетные записи, если Apple не заплатит им 150 000 долларов в биткоинах до 7 апреля.

Apple ответила на угрозу, заявив, что ее системы не были взломаны, и если хакеры и имеют доступ к учетным записям iCloud, то только из-за компрометации сторонних сервисов.

Вчера ZDNet сообщил, что получил набор из 54 учетных данных от группы хакеров для «проверки» и впоследствии сообщил, что все учетные записи действительны, на основании проверки с использованием функции онлайн-сброса пароля Apple.

Учетные записи включают адреса @icloud.com, датируемые 2011 годом, а также устаревшие домены @me.com и @mac.com, начиная с 2000 года. Список учетных данных содержит адреса электронной почты и пароли в открытом тексте, разделенные двоеточием. По словам Троя Ханта, эксперта по утечкам данных и владельца сайта уведомлений Have I Been Pwned, это свидетельствует о том, что данные могли быть агрегированы из различных источников.

ZDNet связался с каждым владельцем учетной записи через iMessage, чтобы подтвердить их пароль, и обнаружил, что многие учетные записи больше не зарегистрированы в платформе обмена сообщениями Apple. Однако из тех, с кем удалось связаться, 10 человек — все из Великобритании — подтвердили, что пароли верны, и они их изменили.

На вопрос об первоначальном источнике данных хакеры заявили, что он был «обработан группами», не объяснив как и почему. Хакеры также отказались предоставить образец учетных записей из США.

Все люди с скомпрометированными учетными записями заявили, что до сих пор никогда не меняли свои пароли iCloud. Один человек сказал, что пароль, который он подтвердил с ZDNet, уже не использовался около двух лет, что сужает возможную дату утечки или множественных утечек где-то между 2011 и 2015 годами.

Большинство людей подтвердили, что использовали свой адрес электронной почты и пароль iCloud на других сайтах, таких как Facebook и Twitter. Однако три человека сказали, что их адрес электронной почты и пароль iCloud были уникальны для iCloud и не использовались ни на одном другом сайте. Кроме того, двое человек утверждали, что кто-то пытался сбросить их пароли iCloud за последний день.

Неясно, является ли предоставленная выборка репрезентативной для более широкого пула учетных данных, на которые претендуют хакеры, но на основании своих сообщений с группой ZDNet предполагает, что ее участники «наивны и неопытны» и в основном ищут известности.

Учитывая, что Apple отрицает взлом, информация об учетных записях могла быть получена в результате крупного инцидента с взломом, такого как тот, который произошел с Yahoo. Пользователям iCloud, у которых совпадает имя пользователя и пароль, использовавшиеся как на взломанном сайте, так и для iCloud, следует немедленно сменить свои пароли.

Всем, кто обеспокоен заявлениями о взломе, следует сменить свой пароль и рассмотреть возможность использования двухфакторной аутентификации для защиты своих учетных данных Apple ID. Apple заявила, что она «активно отслеживает и предотвращает несанкционированный доступ к учетным записям пользователей и сотрудничает с правоохранительными органами для выявления причастных преступников».