मिचल झेडन्स्की ॲपलच्या अनेक दिवसांच्या अंतर्गत तपासानंतर कंपनीने याबाबत एक निवेदन जारी केले काही सेलिब्रिटींची iCloud खाती हॅक करणे, ज्याचे नाजूक फोटो लोकांसाठी लीक झाले. ॲपलच्या म्हणण्यानुसार, आयक्लॉड आणि फाइंड माय आयफोन सेवा हॅक करून फोटो लीक झाले नाहीत, हॅकर्सनी ज्या प्रकारे फोटो मिळवले, कॅलिफोर्निया कंपनीच्या अभियंत्यांनी वापरकर्तानाव, पासवर्ड आणि सुरक्षा प्रश्नांवर लक्ष्यित हल्ला निश्चित केला. मात्र, आयक्लॉडचे फोटो कसे मिळाले याबाबत त्यांनी कोणतीही प्रतिक्रिया दिली नाही.
वायर्डच्या म्हणण्यानुसार, सरकारी एजन्सी वापरत असलेल्या फॉरेन्सिक सॉफ्टवेअरचा वापर करून पासवर्ड क्रॅक करण्यात आले. बुलेटिन बोर्डवर Anon-IB, जिथे अनेक सेलिब्रिटींचे फोटो दिसले, काही सदस्यांनी उघडपणे सॉफ्टवेअरचा वापर करून चर्चा केली ElcomSoft फोन पासवर्ड ब्रेकर. हे तुम्हाला आयफोन आणि iPad वरून संपूर्ण बॅकअप फाइल्स पुनर्प्राप्त करण्यासाठी प्राप्त केलेले वापरकर्तानाव आणि संकेतशब्द प्रविष्ट करण्यास अनुमती देते. वायर्डने मुलाखत घेतलेल्या एका सुरक्षा तज्ञाच्या मते, फोटोंमधील मेटाडेटा उक्त सॉफ्टवेअरच्या वापराशी जुळतो.
हॅकर्सना फक्त वापरकर्तानाव (ऍपल आयडी) आणि पासवर्ड मिळवायचे होते, जे त्यांनी प्रोग्राम वापरून पूर्वी नमूद केलेल्या पद्धतीमुळे प्राप्त केले असावे. iBrute Find My iPhone भेद्यतेसह, ज्याने आक्रमणकर्त्यांना प्रयत्नांच्या संख्येवर मर्यादा न ठेवता पासवर्डचा अंदाज लावू दिला. Appleपलने असुरक्षा शोधल्यानंतर लगेचच पॅच केले. हॅकर हल्ल्यातील बळींनी द्वि-चरण सत्यापन वापरले नाही, ज्यासाठी फोनवर पाठविलेला कोड प्रविष्ट करणे आवश्यक आहे, याने देखील मोठी भूमिका बजावली. हे लक्षात घ्यावे की द्वि-चरण सत्यापन iCloud बॅकअप आणि फोटो प्रवाह सेवांवर लागू होत नाही, तथापि, ते प्रथम स्थानावर वापरकर्तानाव संकेतशब्द प्राप्त करणे अधिक कठीण करेल.
तथापि, द्वि-चरण सत्यापनासह, iCloud आदर्शपणे संरक्षित नाही. सर्व्हरच्या मायकेल रोजने शोधल्याप्रमाणे TUAW, नवीन Apple संगणकावर फोटो प्रवाह, सफारी बॅकअप आणि ईमेल संदेश समक्रमित करताना, वापरकर्त्याला नवीन संगणकावरून डेटा ऍक्सेस केला गेला असल्याची कोणतीही चेतावणी नाही. केवळ ऍपल आयडी आणि पासवर्डच्या ज्ञानाने वापरकर्त्याच्या माहितीशिवाय नमूद केलेली सामग्री डाउनलोड करणे शक्य होते. जसे आपण पाहू शकता, ऍपलच्या क्लाउड सेवांमध्ये अजूनही काही क्रॅक आहेत, जरी वापरकर्ता द्वि-चरण सत्यापनाद्वारे संरक्षित आहे, जे अद्याप उपलब्ध नाही, उदाहरणार्थ, झेक प्रजासत्ताक किंवा स्लोव्हाकिया. अखेर या प्रकरणानंतर ॲपलचे शेअर्स चार टक्क्यांनी घसरले.
तुमचा विश्वास बसणार नाही की काही सेलिब्रिटीज त्यांच्या फोनवर साधे पासवर्ड आणि अश्लील फोटो असलेले एवढ्या मोठ्या कंपनीचे शेअर्स कसे हलवू शकतात :)
त्यांचा एक अविभाज्य भाग आहे की वापरकर्त्यांनी त्यांचा डेटा गमावला आणि थोडीशी गोपनीयता गमावली, त्यामुळे या प्रकरणात शेअर्स घसरणे अगदी सामान्य आहे. किमान ते सुरक्षिततेकडे लक्ष देण्यास शिकत आहे आणि आम्ही वापरकर्ते किमान चांगले असल्याचे दिसून येईल ;-).
म्हणून, iBrute प्रोग्राम वापरून पासवर्ड क्रॅक केले गेले, जे काही शब्दकोशानुसार वारंवार वापरलेले पासवर्ड वापरून पाहण्यासाठी चाचणी/त्रुटी पद्धत वापरते. दुर्बलता अशी होती की पीडितांकडे शब्दकोश किंवा कमकुवत पासवर्ड होता आणि Apple ने Find My Phone (आता निश्चित) मध्ये ही पद्धत (उदा. प्रति मिनिट अयशस्वी प्रयत्नांची संख्या मर्यादित करून) अवरोधित केली नाही. पासवर्ड मिळाल्यावर ते त्यांना हवे ते करू शकत होते. परंतु त्याच ऍपल आयडीसह दुसर्या डिव्हाइसच्या नोंदणीबद्दल माहिती उघड करू नये म्हणून, त्यांनी EPPB प्रोग्राम वापरून iCloud वरून iPhone चा संपूर्ण बॅकअप डाउनलोड केला आणि त्या प्रोग्रामचा वापर करून बॅकअपमधून फोटो काढले. निष्कर्ष - एक चांगला पासवर्ड फक्त आवश्यक आहे.
हे देखील एक सशुल्क चाल असेल तर मला आश्चर्य वाटणार नाही. सुपर नवीन गोष्टींच्या परिचयाच्या काही दिवस आधी ऍपल जायंटवर शक्य तितकी घाण फेकणे. हे कसे असू शकते या संभाव्य परिस्थितींपैकी एक आहे. आज एखाद्या व्यक्तीला स्टॉकबद्दल उत्साही होण्यासाठी, तुम्हाला फक्त ते किती संवेदनशील आहे याची जाणीव करून द्यावी लागेल. पण जो सर्वोत्कृष्ट आहे त्याला नेहमीच फिरकी दिली जाईल, ते बदलणार नाही.
त्यांचा एक अविभाज्य भाग आहे की वापरकर्त्यांनी त्यांचा डेटा गमावला आणि थोडीशी गोपनीयता गमावली, त्यामुळे या प्रकरणात शेअर्स घसरणे अगदी सामान्य आहे. किमान ते सुरक्षिततेकडे लक्ष देण्यास शिकत आहे आणि आम्ही वापरकर्ते किमान चांगले असल्याचे दिसून येईल ;-).
नक्कीच, ऍपल कधीही कशासाठीही पैसे देत नाही. कोणत्याही परिस्थितीत परिषदेचा बचाव करणे थांबवा. हे आधीच लाजिरवाणे आहे. त्यांनी ते फक्त शेअर केले
आजच मला "checkauth@apple.com" वरून ईमेल आला. ते अगदी Apple सारखे दिसते आणि त्यात असे म्हटले आहे की मी वापरत नसलेले एक ऍप्लिकेशन माझ्या खात्यातून डाउनलोड केले गेले आहे. जेव्हा मी माझा पासवर्ड बदलण्यासाठी गेलो, तेव्हा त्याने मला Apple.com सारखे दिसणाऱ्या पृष्ठावर पुनर्निर्देशित केले, परंतु URL पत्ता स्पष्टपणे भिन्न आहे.