În luna august a anului trecut apăruseră pe internet mai multe poze intime ale unor vedete după ce conturile iCloud ale acestora au fost sparte de către niște infractori cibernetici care au profitat de parolele simple sau de întrebările de securitate ușor de ghicit ale conturilor lor, dar și de faptul că nu aveau configurat sistemul de verificare în doi pași pentru ID-ul Apple. Pe la începutul lunii septembrie, directorul general al companiei Apple ieșea în față pentru a le promite utilizatorilor că Apple va reintroduce e-mailurile de notificare privind autentificările făcute în conturile lor, precum și că va extinde sistemul de verificăre în doi pași la toate autentificările. Au trecut de atunci mai bine de patru luni, și chiar și acum nu mai puțin de cinci locuri de autentificare cu ID-urile Apple nu sunt protejate de sistemul de verificare în doi pași, iar o parte nici măcar de e-mailurile de notificare.
Fondatorul Hackers of NY, Dani Grant, a demonstrat într-o postare pe blogul Medium fiecare dintre cele cinci ”vulnerabilități” ale autentificării în conturile iCloud. Folosind un Mac de pe care nu s-a mai conectat niciodată în contul personal de iCloud, unde are activată verificarea în doi pași, Grant a reușit să se autentifice fără probleme în contul său pe iMessage, iTunes, FaceTime, App Store și chiar pe site-ul web al companiei Apple. În niciunul dintre cazurile de mai sus nu a intervenit sistemul de verificare în doi pași pentru a-l opri, iar cu excepția FaceTime, nu a primit niciodată un e-mail de notificare cu privire la folosirea unui dispozitiv necunoscut pentru a se autentifica în contul său. Cidat este că în trecut mesaje de notificare prin e-mail erau trimise și la folosirea ID-ului Apple pentru autentificarea în iMessage, în timp ce niciodată nu au fost trimise astfel de e-mailuri la încercarea de autentificare de pe iTunes, App Store sau site-ul web al Apple.
Aceste cinci omiteri ale companiei Apple sunt considerate vulnerabilități pentru simplul fapt că niciodată iCloud sau vreun sistem similar al Apple nu au fost compromise de către hackeri. Și în cazul vedetelor, dar și în alte cazuri, infractorii cibernetici au folosit o combinație de atacuri de tip phishing și parole ori întrebări de securitate ușor de ghicit. Iar ID-urile Apple sunt în continuare vulnerabile în fața unor astfel de atacuri ce pot fi prevenite și prin activarea verificării în doi pași și prin notificarea prin e-mail a utilizatorilor.
Vorbind despre sistemul de verificare în doi pași, la aproximativ doi ani de la lansare, nici acum nu este disponibil pentru utilizatorii din toate țările, inclusiv pentru cei din România. În aceste condiții, dacă nu sunt folosite parole foarte sigure, utilizatorii riscă să aibă conturile sparte.
