Notícias

Apple conserta brecha que permitia ataques do tipo ‘brute force’ no iCloud

Brute force no iCloud

Um pouco antes da grande repercussão que gerou o vazamento de fotos nuas de celebridades, uma falha que existia na API do Find My Phone foi divulgada. Ela permitia ataques do tipo “brute force” no site do iCloud, para a tentativa de descobertas de senhas. A Apple já fechou a brecha.

Não há ainda nenhuma evidência que ligue esta falha ao vazamento de fotos. Ela foi publicada no sábado e as fotos foram publicadas no domingo, o que é muito pouco tempo para se conseguir a senha de tantas celebridades e ainda buscar fotos comprometedoras. Tudo indica que o trabalho feito por quem vazou as fotos precisou de vários dias para ser realizado, mas não se descarta a possibilidade de ter se usado um método similar.

security2
O TheNextWeb chupou a imagem feita pelo brasileiro Vinícius K-Max

A falha era básica e bem grave: possibilitava usar scripts no site da Apple que introduzia centenas de tentativas de senha em determinada conta, até encontrar a correta. Este tipo de ataque é bem comum e a maioria dos sites possui proteção contra ele, o que espanta ainda mais que hoje em dia isso ainda possa acontecer em um site tão grande e importante como o iCloud.

Neste final de semana, a Apple arrumou a falha e agora não é mais possível fazer nada do tipo. Mesmo assim, o vacilo foi grande.

security1

Repetimos o que dissemos no outro artigo: nada indica que o iCloud foi hackeado, houve apenas a invasão individual de algumas contas (ou seja, seus dados não foram vazados se sua conta não foi invadida). O que estamos reportando aqui é uma notícia de uma real falha que existia e que ainda não se sabe se tem relação com o evento anterior.

Se for confirmado que a invasão se deu graças a um ataque brute force simples, a falha foi da Apple, por permitir algo tão básico.

Voltamos a enfatizar que o ideal é que cada usuário se preocupe em proteger sua própria conta, com senhas fortes (mais de 10 caracteres) e ativação de verificação em dois passos, que só permite acessar a conta através de um código enviado ao celular ou ao iPad. Confira na edição 11 da Revista iThing todos os passos para proteger sua conta.

via TheNextWeb

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos relacionados

Botão Voltar ao topo