עקב סערת תמונות המפורסמים שהודלפו משירות הענן iCloud של אפל, התראיין מנכ”ל החברה לעיתון הוול-סטריט ג’ורנל והבטיח כי חברתו תקשיח את מנגנון ההגנה של ה-iCloud החל ממערכת ההפעלה הבאה, שתשוחרר סמוך להשקתו של האייפון הבא.
“חשבונותיהם של המפורסמים נגנבו ככל הנראה עקב התחזות לאדם אחר. אין כל פירצה בשרות ה-iCloud. אנחנו מניחים כי ההתחזות נעשה על-ידי גניבת חלק מהמידע שמקורו ברשתות החברתיות”, כך סיפר מנכ”ל אפל, ובכך דחה למעשה את הטענות המדוברות לפיהן קיימת פירצה בשרות ה-iCloud וכי הפרטים הודלפו כתוצאה מרמת אבטחה לקויה.
קוק, אמנם ציין כי שירות ה-iCloud מוגן ברמת האבטחה הגבוהה ביותר וכי חברתו תמשיך לחקור יחד עם ה-FBI כיצד הצליחו לדלוף התמונות, אך הבטיח גם לשפר גם את מנגנון האבטחה הקיים ולהוסיף לו מספר אלמנטים שיקשו עוד יותר על הפורצים, ויושקו סמוך למועד השקתה של מערכת ההפעלה הבאה, כאמור. כחלק מהקשחת מנגנון האבטחה, הבטיח טים קוק כי בכל פעם בו המשתמש ירצה לשנות את סיסמת חשבון ה-Apple ID שברשותו, תשלח בנוסף להודעת המייל הנשלחת כיום, גם הודעת טקסט למכשיר האישי של המשתמש אותה יצטרך לאשר בטרם יחליף את הסיסמה.
אותו תהליך הזיהוי יצטרך לעשות המשתמש כאשר יחבר בפעם הראשונה מכשיר חדש לחשבון ה-Apple ID שלו או בכל פעם כאשר ירצה לשחזר את המכשיר מהגיבויים הקיימים בשרות ה-iCloud. יתר על כן, המליץ קוק לכל המשתמשים להשתמש במנגנון ההגנה הדו שלבי אותו השיקה החברה לא מכבר, והודיע כי החברה תדרבן את המשתמשים להשתמש במנגנון זה.
קוק אמנם ניסה להנמיך במעט את גובה הלהבה במעט סביב הפרשה המדוברת שבאורח פלא מתפרסמת סמוך למועד הכרזתו והשקתו של אייפון הבא, וסיפר כי החברה “יכלה לעשות יותר” על מנת לשמור על פרטיות המשתמשים. “לנו, כחברה, יש אחריות להגביר ולתחזק את מנגנון האבטחה ולהעניק למשתמשים את רמת השרות הגבוהה ביותר”.
הוא מתחמק, הגישה לחשבונות בענן לא נעשתה ע”י ניחוש בודד מוצלח אלא ע”י מנגנון brute force אשר מנסה המון ססמאות עד אשר הוא מוצא את הסיסמה נכונה.
נכון שמנגנון אימות דו-שלבי היה מונע את הפריצה אך גם מנגנון time-out אחרי מס’ נסיונות עם סיסמא לא נכונה, או נעילת החשבון לאחר מס’ סיסמאות שגויות או הודעה ב- SMS או מייל לבעל החשבון שמשהו מנסה להכנס לחשבון שלו וטועה בסיסמה היה עוזר.
וכל אלו לא היו קיימים בענן של אפל!
לא פרצו לשרתים של אפל כי לא היה צורך, הדלת לשרתים לא היתה נעולה מספיק טוב!
והעיקר להאשים את המשתמשים שוב פעם שהם לא בסדר ואפל תמיד צודקת!
שום brute force לא היה עולה על סיסמא טובה!
ל brute force יש רשימה של ססימאות מוכרות. סיסמא טובה לא תיהיה לעולם ברשימה כזאת.
די ל- שמעון1234 כסיסמא! ודי להאשים את אפל סתם.
ואז אנשים עוברים לאנדרואיד כי “אפל והשטויות שלה, כולה רציתי להוריד מה זה ססמאות עכשיו?!” במקום להעריך שלמישהו באמת אכפת מהם ומגן על המידע של המשתמשים. צרכנים חסרי שכל. קונים את הכי גדול, הכי זול.
אז איך רק לבעלי אייפון הייתה פריצה?
תקיפה ממוקדת נגד אותם בעלי iPhone .
במטרה לנחש ולגנוב את פרטי הסיסמאות שלהם ואז להיכנס לחשבון ולהוריד תמונות לא פריצה לשרתים של אפל.
המטרה של טים להראות שכיביכול הבנות אשמות שלא חיזקו את האבטחה של החשבונות שלהם אבל גם הבטיח שידרבן מעכשיו את כל הלקוחות לחזק את האבטחה.
אם היה לאותם בנות מנגנון דו שלבי חשבונן לא היה נפרץ כי הפורץ היה מקליד את הסיסמה שהשיג אבל לא היה מקבל גישה ללא אישור מהנייד הפרטי שלה.