Meses antes de que se conocieran las
revelaciones de las fotos de las famosas de Hollywood,
un investigador de seguridad realizó múltiples reportes a Apple sobre
las vulnerabilidades en el servicio iCloud de la compañía a través de
ataques de fuerza bruta contra las
contraseñas.
The Daily Dot reportó
que Ibrahim Balić envió las descripciones de la vulnerabilidad a Apple
en marzo pasado, además de presentar un informe sobre que el filtrado
datos de usuario podía utilizarse para montar este tipo de ataques.
En un correo electrónico del 26 de marzo, Balić informó a Apple:
He encontrado un nuevo problema sobre cuentas de Apple (sic)... A través
de un ataque de fuerza bruta, se puede intentar más de 20.000 veces la
contraseña de cualquier cuenta. Creo que probablemente debería aplicarse
un bloqueo de cuenta. Adjunto una pantalla. He encontrado el mismo
problema en Google y ya tengo respuesta de ellos.
El empleado de Apple respondió:
"Es bueno saber de ti. Gracias por la información".
Balić también informó del fallo a través las peticiones utilizando la
API del servicio de
iCloud vía HTTPS y mediante el cual se explota el
parámetro
"Authorization" de la solicitud Web, enviado un ID de cliente de iPhone falso y un token de Apple
iCloud:
Apple respondió en mayo desestimando la vulnerabilidad porque
"tomaría un tiempo extraordinario encontrar un token de autenticación válido para una cuenta".
Lo resultados están a la vista, sino pregúntenle a las famosas y usuarios afectados.
Fuente:
Arstechnica