Thông thường, một trang web sẽ khóa tài khoản khi một người cố gắng đăng nhập nhiều hơn 3-5 lần mà không thành công. Trong khi đó, tính năng “Find my iPhone” lại thiếu sự hạn chế này.
Lỗ hổng này cho phép tin tặc thực hiện phương pháp "bruteforce”, được tiến hành bằng cách thử hàng loạt từ và cụm từ để đoán mật khẩu cho đến khi tìm được mật khẩu chính xác. Để tiến hành “bruiteforce” iCloud, tin tặc có thể đã sử dụng một ứng dụng nguồn mở có tên gọi là GitHub, được nhiều tin tặc ưa chuộng trong thời gian gần đây. Ứng dụng này dường như sẽ khai thác lỗ hổng (hiện đã được vá bởi Apple) trong dịch vụ "Find My iPhone" để có thể đoán mật khẩu iCloud nhiều lần mà không bị khóa.
Ngoài ra, nhiều người nổi tiếng có lẽ đã bỏ qua việc tạo mật khẩu mạnh và chọn những mật khẩu rất đơn giản. Tin tặc có thể chỉ cần thử khoảng 500 mật khẩu phổ biến theo kiểu “bruteforce” là đã có được kết quả.
Theo Kaspersky, Apple đã vá lỗi chỉ vài giờ sau khi ảnh nóng bị phát tán. Ngoài ra, hiện tài khoản iCloud đã không thể bị tấn công theo kiểu “bruteforce” nữa. Tuy nhiên, không có gì đảm bảo rằng các lỗ hổng khác không tồn tại.
Làm thế nào để bảo vệ bạn và dữ liệụu?
Christian Funk, nhà nghiên cứu cấp cao về bảo mật tại Kaspersky đã đưa ra một số khuyến cáo để tránh bị rò rỉ dữ liệu cá nhân thông qua máy tính, thiết bị di động hoặc các dịch vụ điện toán đám mây:
1. Sử dụng các mật khẩu mạnh, duy nhất cho mỗi tài khoản.
2. Sử dụng giải pháp bảo mật thiết bị đầu cuối để bảo vệ thiết bị của bạn, bởi vì mỗi thiết bị là một cửa ngõ vào lưu trữ đám mây.
3. Sử dụng chế độ xác nhận mật khẩu hai lớp.
4. Phân loại những thông tin nên hay không nên được lưu trữ trong đám mây. Thông tin nhạy cảm có liên quan đến cuộc sống cá nhân hoặc nghề nghiệp của bạn - không bao giờ tin cậy để trên các đám mây.
5. Thiết bị di động của bạn có thể bị mất hoặc bị đánh cắp rất dễ dàng, do đó hãy chắc chắn rằng các thiết bị đó không lưu trữ dữ liệu nhạy cảm. Hoặc phải có mã hóa trong trường hợp bất khả kháng.
6. Nếu bạn muốn lưu trữ thông tin nhạy cảm (bao gồm cả hình ảnh và video), hãy kiểm tra lại thiết bị của bạn không tự động đưa dữ liệu lên đám mây.
7. Trước khi chia sẻ dữ liệu cá nhân hoặc cho phép một người nào đó có được một hình ảnh của bạn, hãy chắc chắn rằng các thiết bị đó đủ an toàn để bảo vệ dữ liệu cá nhân của bạn.