Som rapportert tirsdag av Motherboard, har hackere som går under kodenavnet “Turkish Crime Family” angivelig fått ukjente midler tilgang til hundrevis av millioner av e-postkontoer fra Apple, inkludert iCloud-innbokser med e-postadresser på @icloud og @me-domener..
De truer med å fjerne eksternt iOS-enheter med mindre Apple betaler en latterlig løsepenger. Det er bemerkelsesverdig at iCloud aldri har blitt hacket direkte inn og andre grunner gjør denne historien vanskelig å svelge.
De krever at Apple betaler løsepenger innen 7. april i form av:
- Enten 75 000 dollar i cryptocurrencies Bitcoin eller Ethereum;
- Eller 100 000 dollar i iTunes-gavekort.
Hvis Cupertino-selskapet ikke imøtekommer forespørselen, sier gruppen at den kommer til å tilbakestille kontoene og effektivt slette all data på de tilknyttede Apple-enhetene.
I en forsøk på å bruke press fra media for å tvinge betaling fra Apple, sa en av hackerne: "Jeg vil bare ha pengene mine og trodde dette ville være en interessant rapport om at mange Apple-kunder ville være interessert i å lese og høre."
Gruppen delte opprinnelig en YouTube-video som angivelig skulle bevise at de hacket seg inn på en eldre kvinnes iCloud-konto. Videoen demonstrerte også muligheten til å fjerne tørt enhetene, noe som er trivielt når du har tilgang til de underliggende Apple ID-ene.
Abonner på iDownloadBlog på YouTube
Den ble deretter fjernet etter at et medlem av Apples sikkerhetsteam avslått løsepenger og ba om at videoen ble tatt offline. Her er hva et navngitt medlem av Apples sikkerhetsteam tilsynelatende skrev tilbake til hackerne for en uke siden:
Vi ber deg først om å fjerne videoen du har lastet opp på YouTube-kanalen din, fordi den søker uønsket oppmerksomhet.
For det andre vil vi gjerne at du skal vite at vi ikke belønner cyberkriminelle for å ha brutt loven.
Det påståtte Apple-teammedlemet advarte gruppen om at arkiverte kommunikasjoner med dem vil bli sendt til myndighetene. Cupertino-selskapet hadde ikke offentlig kommentert situasjonen på dette tidspunktet, dets vanlige modus operandi.
Dette er en lattermild historie, etter min personlige mening.
For det første er det uoverensstemmelsene.
Hackerne sa opprinnelig at de hadde 300 millioner kontoer for løsepenger. Tallet senere endret seg til 559 millioner kontoer. Viktigere at de ikke ga Motherboard en datacache til de antatt stjålne iCloud-kontoene for å bekrefte påstandene.
Det eneste beviset de ga, kom i form av påståtte skjermbilder (bilder er lett forfalsket, husk deg) av de påståtte e-postene mellom gruppen og medlemmer av Apples sikkerhetsteam.
“Hovedkortet så bare et skjermbilde av denne meldingen, og ikke originalen,” heter det i artikkelen. For hva det er verdt ga gruppen Motherboard midlertidig tilgang til en e-postkonto som angivelig ble brukt til å kommunisere med Apple som bevis.
Den samme e-postkontoen ble omtalt i den nå fjernede YouTube-videoen.
Hvis du hadde tilgang til 300 millioner iCloud-kontoer, ville du bedt om bare 75 000 dollar?
Det er trygt å anta at noen av de hevdede kontoene ville ha Apples tofaktors autentiseringsfunksjon slått på. Problemet er at Apples tofaktors autentiseringsservere aldri har blitt hacket direkte i masseskala. Lekkasjer av kompromitterende bilder av kjendiser fra iCloud-kontoer? Det var bare smart sosialteknikk.
Jeg mener, du ser på meg med et rett ansikt og forteller meg at de kompromitterte hundrevis av millioner iCloud-kontoer som tilhører ukjente brukere via sosial ingeniørarbeid alene.
Den lattermilde forespørselen om iTunes-gavekort merkes også her. Du utgir ikke bare alvorlig trussel som dette og ber om et lite beløp mens du potensielt gir Apple god tid til å fikse eventuelle sårbarheter i iCloud-systemer.
Hvis jeg var "Turkish Crime Family", ville jeg først tatt ti millioner kontoer offline, slik at Apple tok meg på alvor før jeg prøvde å utpresse selskapet, ikke for en skam 75.000 dollar, men for en syv-sifret sum. På den annen side kan grunnen til at de ba om et lite beløp være håp om at Apple ville betale raskt og stille.
OPPLÆRINGEN: Slik beskytter du Apple-ID-en din med tofaktorautentisering
Som Seb kommenterte, begynn å be om millioner, og du risikerer at Apple ser dypere inn i det, og potensielt tar kontakt med FBI (eksempel: Apples aggressive reaksjon på den stjålne iPhone 4-prototypen i 2010). Jeg er ikke sikker på hvorfor Motherboard anså dette som nyhetsverdig og pålitelig nok til å publisere, men jeg kjøper ikke denne historien i det hele tatt.
Er du? Og skulle Apple hule inn og betale, bare i tilfelle?
Kilde: Hovedkort