Tegnap az IT café is beszámolt arról, hogy a hírességek képeinek kiszivárgása ügyében az érintett szolgáltatás gazdája, az Apple is vizsgálatot indított, és ezzel párhuzamosan olyan szakértői vélemények jelentek meg, melyek szerint a cég hibázott akkor, amikor az iCloud Find My iPhone nevű egységében a hitelesítési felületen nem korlátozták a sikertelen akciók számát, így a behatoló – egyéb információk birtokában – végrehajthatta a látható sikerrel járó brute force támadásokat.

A cég viszonylag gyorsan újabb tájékoztatót adott ki tegnap este, amiben közölték, hogy lezárták az intenzív vizsgálatot, és megállapították, hogy a behatolásért nem az Apple rendszerének hibája vagy hiányosságai felelősek.

A szűkszavú közlemény nagy része annak hangsúlyozása, hogy felháborodtak a történtek miatt, és számukra elsőrendű fontosságú felhasználóik adatainak biztonsága. A lényeget tartalmazó egyetlen mondatban közlik, hogy valóban kompromittálódtak hírességek fiókjai, ám mindezt egy megszokott módszerrel hajtották végre (adathalászattal szereztek meg felhasználói neveket, jelszavakat és biztonsági kérdéseket, illetve olyan információkat, amelyek segítségével ezeket ki tudták találni), és nem az Apple rendszereinek a sérülékenysége tette lehetővé. Majd azt javasolják, hogy az ilyen támadások kockázatának mérséklésére a felhasználók használjanak erős jelszavakat, illetve engedélyezzék a kétfaktoros autentikációt.

Kérdések azért még maradtak így is bőven. Tegnap két kiváló összefoglaló is megjelent biztonsági szakemberektől, az egyiket Nik Cubrilovic, a másikat Jonathan Zdziarski írta. A két beszámoló annyiban közös, hogy mindketten arra hívják fel a figyelmet, hogy az Apple-nek is változtatnia kellene biztonsági rendszerén, mivel különféle felhasználási és technológiai előírások szigorításával jelentősen megnehezíthetnék az ilyen típusú behatolások végrehajtását.

Az Apple közleménye erről ugyan nem szól, de tegnapra – mintegy hallgatólagosan elismerve a gyenge pont létezését – megváltoztatták a bejelentkezés módját a Find My iPhone felületén, most már öt sikertelen próbálkozás után kizárják a felhasználót, és ez hatékony védekezés a brute force típusú próbálkozások ellen.