Apple werd al in maart op de hoogte gesteld van een mankement in de beveiliging van de dienst iCloud. Door de fout is het voor hackers mogelijk geweest om het wachtwoord van Apple ID’s te achterhalen.

Een van de iCloud-loginschermen was niet voorzien van een beveiliging waarmee zogenaamde bruteforce-aanvallen worden tegengegaan. Bij dit soort aanvallen worden in rap tempo verschillende wachtwoorden geprobeerd om bij een account in te loggen. Normaliter worden dergelijke aanvallen na bijvoorbeeld vijf pogingen geblokkeerd, maar bij Find my iPhone bleek deze beveiliging volledig afwezig.

Ibrahim Balic, degene die door Apple wordt aangeduid als de melder van het lek, zegt dat hij dat al in maart heeft gedaan. Daarvoor wordt ook een e-mail als bewijs geleverd. Apple loste het probleem pas onlangs op, toen talloze naaktfoto’s van bekendheden werden gepubliceerd. Het is een kwalijke zaak dat Apple het probleem pas onlangs heeft opgelost, al was het lek bij sommigen misschien ook al voor maart bekend. Balic had dezelfde fout overigens ook in diensten van Google gevonden.

Apple stelt zelf dat de slachtoffers van de hack zwakke wachtwoorden hadden en dat de hackers deze geraden hebben. Wel zijn er inmiddels een aantal maatregels getroffen om de beveiliging van iCloud op te schroeven.