Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N6806/apple_iphone.jpg

Blöffölhetnek a több százmillió Apple‑fiókot feltörő hackereknek

2017.03.24. 10.17
Az Apple kiberbiztonsági csapata az éjjel biztosan nem aludt sokat, ugyanis amellett, hogy a WikiLeaks olyan dokumentumokat tett közzé, miszerint az Apple-készülékek is érintettek a lehallgatási botrányban, még egy kiberbűnöző csoport is elkezdett játszani az idegeikkel.

Egy magát Turkish Crime Familynek hívó hackercsoport ugyanis azt állítja, hogy több százmillió Apple iCloud-felhasználó fiókjához férnek hozzá, és ha az Apple április 7-ig nem fizet ki nekik 75 ezer dollárnyi bitcoint, vagy 100 ezer dollárnyi iTunes ajándékkártyát, letörlik a fiókokat.

Bár az Apple azt állítja, hogy csupán blöffről van szó, a kiberbűnözők egy 54 fiókból álló bizonyítékcsomagot is küldtek a ZDNet hírportálnak, bizonyítva állításuk valósságát. – Ez persze még nem jelenti, hogy a bűnözők valóban rendelkeznek egy ekkora adatbázissal, ráadásul a fiókok évek óta ugyanazzal a jelszóval futottak és nem használtak kétlépcsős azonosítást.

Összességében valószínűtlen, hogy ekkora mennyiségben rendelkezzenek használható belépési azonosítókkal. Arról lehet szó, hogy egy adathalász kampány során sikeresen vertek át embereket, akik egy hamis (adatlopó) felületen megadták a belépési azonosítókat, a támadók pedig összegyűjtötték azokat. Ezzel a módszerrel pillanatok alatt össze lehet gyűjteni olyan fiókazonosítókat, amiknél nincs bekapcsolva a kétlépcsős (jelszó+SMS) azonosítás, tehát elegendő megadni a felhasználónevet és a jelszót. A példa pedig bizonyítja, hogy elég csupán 50-es nagyságrendben prezentálni, máris az egész világ erről beszél. – Az sem lehetetlen, hogy egyszerűen csak a Pastebin.com-on találtak egy kiszivárgott adatbázist, aminél végigpróbálgatták a fiókokat. Ilyen adatbázisok naponta több alkalommal is kikerülnek az internetre.

Az eset tanulsága, hogy néhány havonta változtassuk meg a jelszavunkat és kapcsoljuk be a kétlépcsős azonosítást, amivel hiába szivárognak ki az adatok, SMS híján a támadók nem tudják mire használni. Fontos tudni, hogy a kétlépcsős azonosítás sem véd a fejlettebb adathalász oldalak ellen, amik az SMS-ben kapott kódot is kérik – tehát nagyon körültekintően mobilozzunk a jövőben, különben mi is egy biztonsági incidens áldozatává válhatunk.