Apple dicht lek waarmee iCloud-wachtwoorden waren te achterhalen

Apple heeft vandaag een lek gedicht in de Find my iPhone-dienst die onderdeel uitmaakt van de iCloud. Het was mogelijk om via een "brute force"-aanval wachtwoorden van gebruikers te achterhalen. Apple bleek hiervoor geen bescherming te hebben ingebouwd. Het lek zou verantwoordelijk kunnen zijn voor alle naaktfoto’s van bekende sterren die dit weekend zijn uitgelekt.

Volgens The Next Web is er een Pyhton scriptje opgedoken op Github waarmee het zeer eenvoudig was om een brute force aanval uit te voeren op een iCloud-account. Met een dergelijke aanval wordt er geprobeerd om in te loggen met een gebruikersnaam en wachtwoord, als dat mislukt wordt er een nieuw wachtwoord geprobeerd. Een dergelijke scriptje is vaak in staat om enkele tientallen wachtwoorden per seconde uit te proberen. Daarnaast werd er bij het scriptje ook een lijst meegeleverd van de 500 meest voorkomende wachtwoorden.

Inmiddels is het scriptje waardeloos geworden want Apple heeft nu een beveiliging ingebouwd waardoor er niet meer onbeperkt aanvragen kunnen worden gestuurd om in te loggen. Na de vijfde poging wordt de iCloud-account nu geblokkeerd en kan alleen de rechtmatige eigenaar de account heractiveren.

Apple had deze beveiliging al wel in gebruik bij het inloggen in je iCloud-account maar niet bij de Find my iPhone-dienst waar ook voor ingelogd moet worden. Hoewel het zeer toevallig is dat een dergelijk lek opduikt op de dag dat net honderden naaktfoto’s van bekende sterren zijn uitgelekt is er nog geen duidelijk bewijs dat de uitgelekte foto’s afkomstig zijn uit de iCloud. Wel wordt er door veel gebruikers en sites gewezen richting de dienst van Apple. Het bedrijf uit Cupertino heeft aan verschillende Amerikaanse media laten weten niet te reageren op beveiligingsincidenten.