कई दिनों तक चली एप्पल की आंतरिक जांच के बाद कंपनी ने इस संबंध में एक बयान जारी किया कुछ मशहूर हस्तियों के iCloud खाते हैक करनाजिनकी नाजुक तस्वीरें लोगों के सामने लीक हो गईं। Apple के अनुसार, तस्वीरें iCloud और Find My iPhone सेवाओं को हैक करके लीक नहीं की गईं, जिस तरह से हैकर्स ने तस्वीरें प्राप्त कीं, कैलिफ़ोर्निया कंपनी के इंजीनियरों ने उपयोगकर्ता नाम, पासवर्ड और सुरक्षा प्रश्नों पर लक्षित हमले का निर्धारण किया। हालाँकि, उन्होंने इस पर कोई टिप्पणी नहीं की कि iCloud तस्वीरें कैसे प्राप्त की गईं।
वायर्ड के अनुसार, सरकारी एजेंसियों द्वारा उपयोग किए जाने वाले फोरेंसिक सॉफ़्टवेयर का उपयोग करके पासवर्ड क्रैक किए गए थे। बुलेटिन बोर्ड पर आनन-आईबीजहां कई सेलिब्रिटी की तस्वीरें सामने आईं, वहीं कुछ सदस्यों ने उनकी ओर से सॉफ्टवेयर के इस्तेमाल पर खुलकर चर्चा की एल्कॉमसॉफ्ट फोन पासवर्ड ब्रेकर. यह आपको iPhone और iPad से संपूर्ण बैकअप फ़ाइलों को पुनः प्राप्त करने के लिए प्राप्त उपयोगकर्ता नाम और पासवर्ड दर्ज करने की अनुमति देता है। वायर्ड द्वारा साक्षात्कार किए गए एक सुरक्षा विशेषज्ञ के अनुसार, तस्वीरों का मेटाडेटा उक्त सॉफ़्टवेयर के उपयोग से मेल खाता है।
हैकर्स को केवल उपयोगकर्ता नाम (एप्पल आईडी) और पासवर्ड प्राप्त करना था, जो उन्होंने संभवतः प्रोग्राम का उपयोग करके पहले उल्लिखित विधि के माध्यम से हासिल किया था। आईब्रूट फाइंड माई आईफोन भेद्यता के साथ, जिसने हमलावरों को प्रयासों की संख्या की सीमा के बिना पासवर्ड का अनुमान लगाने की अनुमति दी। भेद्यता का पता चलते ही Apple ने उसे ठीक कर लिया। तथ्य यह है कि हैकर हमले के पीड़ितों ने दो-चरणीय सत्यापन का उपयोग नहीं किया, जिसके लिए फोन पर भेजे गए कोड को दर्ज करने की आवश्यकता होती है, ने भी एक बड़ी भूमिका निभाई। यह ध्यान दिया जाना चाहिए कि दो-चरणीय सत्यापन iCloud बैकअप और फोटो स्ट्रीम सेवाओं पर लागू नहीं होता है, हालांकि, वे पहले स्थान पर उपयोगकर्ता नाम पासवर्ड प्राप्त करना अधिक कठिन बना देंगे।
हालाँकि, दो-चरणीय सत्यापन के साथ भी, iCloud आदर्श रूप से सुरक्षित नहीं है। जैसा कि सर्वर के माइकल रोज़ द्वारा खोजा गया था तुआव, फोटो स्ट्रीम, सफारी बैकअप और ईमेल संदेशों को नए ऐप्पल कंप्यूटर में सिंक करते समय, उपयोगकर्ता को कोई चेतावनी नहीं दी जाती है कि डेटा नए कंप्यूटर से एक्सेस किया गया है। केवल ऐप्पल आईडी और पासवर्ड की जानकारी के साथ ही उपयोगकर्ता की जानकारी के बिना उल्लिखित सामग्री को डाउनलोड करना संभव था। जैसा कि आप देख सकते हैं, ऐप्पल की क्लाउड सेवाओं में अभी भी कुछ दरारें हैं, भले ही उपयोगकर्ता दो-चरणीय सत्यापन द्वारा सुरक्षित हो, जो, उदाहरण के लिए, चेक गणराज्य या स्लोवाकिया में अभी भी उपलब्ध नहीं है। आख़िरकार इस मामले के बाद एप्पल के शेयर चार फीसदी तक गिर गए.
आपको विश्वास नहीं होगा कि कैसे कुछ मशहूर हस्तियां, जिनके फोन पर बेहद साधारण पासवर्ड और अश्लील तस्वीरें हैं, इतनी बड़ी कंपनी के शेयर कैसे हिला सकते हैं :)
इस तथ्य में उनका एक अभिन्न हिस्सा है कि उपयोगकर्ताओं ने अपना डेटा और काफी हद तक गोपनीयता खो दी है, इसलिए इस मामले में शेयरों का गिरना बिल्कुल सामान्य है। कम से कम यह सुरक्षा पर ध्यान देना सीख रहा है और हम उपयोगकर्ताओं को कम से कम ठीक लगेगा ;-)।
तो, पासवर्ड को iBrute प्रोग्राम का उपयोग करके क्रैक किया गया था, जो कुछ शब्दकोशों के अनुसार सभी अक्सर उपयोग किए जाने वाले पासवर्ड को आज़माने के लिए परीक्षण/त्रुटि विधि का उपयोग करता है। कमजोरी यह थी कि पीड़ितों के पास शब्दकोश या कमजोर पासवर्ड था और ऐप्पल ने फाइंड माई फोन (अब तय) में इस पद्धति को ब्लॉक नहीं किया (उदाहरण के लिए प्रति मिनट असफल प्रयासों की संख्या सीमित करके)। एक बार उनके पास पासवर्ड आ गए, तो वे जो चाहें कर सकते थे। लेकिन उसी Apple ID के साथ किसी अन्य डिवाइस के पंजीकरण के बारे में जानकारी का खुलासा न करने के लिए, उन्होंने EPPB प्रोग्राम का उपयोग करके iCloud से iPhone का पूरा बैकअप डाउनलोड किया और उस प्रोग्राम का उपयोग करके बैकअप से तस्वीरें निकालीं। निष्कर्ष - एक अच्छा पासवर्ड बहुत जरूरी है।
मुझे आश्चर्य नहीं होगा यदि यह एक भुगतान किया हुआ कदम भी हो। सुपर नई चीजों के आने से कुछ दिन पहले Apple दिग्गज पर जितना संभव हो उतना गंदगी फेंकना। यह भी संभावित परिदृश्यों में से एक है कि यह कैसे हो सकता था। आज किसी व्यक्ति को स्टॉक के बारे में उत्साहित होने के लिए, आपको बस यह महसूस करना होगा कि यह कितना संवेदनशील है। लेकिन जो सर्वश्रेष्ठ है उसे हमेशा घुमाया जाएगा, यह नहीं बदलेगा।
इस तथ्य में उनका एक अभिन्न हिस्सा है कि उपयोगकर्ताओं ने अपना डेटा और काफी हद तक गोपनीयता खो दी है, इसलिए इस मामले में शेयरों का गिरना बिल्कुल सामान्य है। कम से कम यह सुरक्षा पर ध्यान देना सीख रहा है और हम उपयोगकर्ताओं को कम से कम ठीक लगेगा ;-)।
निश्चित रूप से, Apple कभी भी किसी चीज़ के लिए भुगतान नहीं करता है। हर कीमत पर परिषद का बचाव करना बंद करें। यह पहले से ही शर्मनाक है. उन्होंने बस इसे साझा किया
आज ही मुझे "checkauth@apple.com" से एक ईमेल प्राप्त हुआ। यह बिल्कुल Apple जैसा दिखता है, और यह कहता है कि मेरे खाते से एक एप्लिकेशन डाउनलोड किया गया है जिसका मैं उपयोग भी नहीं करता। जब मैं अपना पासवर्ड बदलने गया, तो उसने मुझे एक ऐसे पेज पर रीडायरेक्ट कर दिया जो बिल्कुल Apple.com जैसा दिखता है, लेकिन URL पता स्पष्ट रूप से अलग है।