Aerosol Posted September 26, 2014 Report Posted September 26, 2014 Site-ul Daily Dot a intrat in posesia unor emiluri care arata ca Apple stia de bresele de securitate ale serviciului iCloud cu cateva luni inainte sa apara sute de fotografii nud cu celebritati, care fusesera furate de pe conturile persoanale ale acestora. Emailurile arata discutiile dintre un cercetator pe probleme de securitate din Londra, Ibrahim Balic, si angajati ai companiei Apple. In cadrul discutiei, Balic spune ca a gasit o modalitate de a evita securitatea serviciului iCloud si ar putea efectua "atacuri" asupra conturilor.Metoda se bazeaza pe ghicitul unui numar mare de parole, cu ajutorul unui software automatizat. Desi metoda folosita de hackerii implicati in scandalul fotografiilor nud ale celebritatilor este necunoscuta, expertii in securitate spun ca au fost folosite metode de "forta bruta", combinate cu atacuri orientate de "phising" (pacalirea utilizatorilor in asa fel incat acestia sunt redirectionati catre pagini suspecte cu un URL diferit). Balic a trimis primul email companiei Apple in luna martie si a continuat discutiile cu angajatii specializati pe probleme de securitate pana pe 6 mai. Desi nu au fost dezvaluite toate emailurile schimbate, The Daily Dot raporteaza ca in acest moment, "vulnerabilitatea ramane aparent nerezolvata". Emailul trimis catre Balic sugereaza ca cei de la Apple doreau sa afle mai multe detalii despre bresa de securitate: "Buna Ibrahim, folosind informatia pe care ne-ai oferit-o, se pare ca ar dura foarte mult sa gasim un semn valid de autentificare pentru un cont. Credeti ca aveti o metoda pentru accesarea unui cont intr-o perioada de timp rezonabila?"Un defect similar a fost evidentiat si de catre site-ul tech The Next web, dupa publicarea fotografiilor persoanale ale cerlebritatilor Jennifer Lawrence, Kate Upton si Ariana Grande. Compania a negat ca problema ar fi legata de sparegerea conturilor. Ulterior, compania Apple a recunoscut ca respectivele conturi au fost "compromise", dar a specificat ca vina apartine securitatii pe care utilizatorii o folosesc. "Niciunul dintre cazurile pe care le-am investigat nu a avut loc ca urmare a unei brese a unor sisteme Apple, inclusiv iCloud sau Find my iPhone", a comunicat compania pe 1 septembrie. "Continuam sa lucram cu ogranele specializate pentru a putea identifica infractorii implicati". Raspunsul companiei a fost criticat de experti, care considera ca Apple avea o datorie fata de clientii sai si ca marile companii tech nu ar trebui sa presupuna ca utilizatorul obisnuit este constient de cele mai bune practici de securitate. Cu toate acestea, daca emailurile publicate recent se dovedesc a fi legitime, Apple ar trebuie sa ofere utilizatorilor o explicatie in ceea ce priveste reactia companiei in fata posibilelor probleme si defecte detectate, noteaza The Independent."Daca Apple ar fi luat aceasta problema in serios poate astfel de probleme nu ar fi aparut", a declarat Ibrahim pentru Daily Dot.Source Quote
yo20063 Posted September 29, 2014 Report Posted September 29, 2014 Tare am impresia ca ii paste niste procese civile Quote
Aerosol Posted September 29, 2014 Author Report Posted September 29, 2014 Presimt un bug bounty E foarte posibil sa bage un bug bounty totusi se aude ca sunt chitrosi rau Quote