Daily Dotの報道 によると、AppleはiCloudサービスにおけるブルートフォース攻撃の脆弱性について、多数の著名人のアカウントがハッキングされる6ヶ月前から認識していたという。同社のセキュリティチームは、独立系セキュリティ研究者のイブラヒム・バリック氏からのメールでこの脆弱性について知らされていた。
マックルーマーズ:
2014年3月のメールで、バリック氏はAppleに対し、「ブルートフォース」ハッキング手法を用いて2万通り以上のパスワードの組み合わせを試すことで、あらゆるiCloudアカウントのセキュリティを回避できたと伝えました。バリック氏はAppleに対し、一定回数の試行失敗後にログインを禁止する機能をiCloudに実装するよう提言し、Appleのバグレポーターを通じてこの脆弱性を報告しました。バリック氏はまた、昨年AppleのDev Centerが長期間停止した原因とも言われている開発者の一人です。
2014年5月、AppleはBalic氏にメールを送り、この脆弱性を利用してiCloudアカウントにログインするための有効な認証トークンを見つけるには「非常に長い時間」がかかるとして、この脆弱性の有効性を疑問視した。Balic氏によると、Appleは引き続きこの脆弱性とその使用方法について質問してきたという。(Balic氏は、Appleのオンラインバグ報告プラットフォームを通じて、この脆弱性についてAppleに報告した。)
2014 年 9 月 1 日: 報道によると、ハッカーは、Balic 氏が Apple に警告したブルート フォース攻撃法を利用した Python スクリプトを使用して、数人の著名人の iCloud アカウントにアクセスし、プライベートな写真やビデオをダウンロードしました。
Appleは同日遅く、セキュリティ侵害について調査中であると発表しました。この調査は最終的に同社CEOのティム・クック氏のコメントに繋がり、今後のハッキングを防ぐための新たなセキュリティ対策も導入されました。これらの対策には、Webブラウザ経由でiCloudアカウントにアクセスした際にユーザーに自動メールを送信すること、iCloud.comで自動2要素認証を行うこと、iCloudにアクセスするサードパーティ製アプリにアプリ固有のパスワードを要求することなどが含まれています。
