Компания Apple стала жертвой вымогателей. Это очень странная история, которая началась как фарс, но сейчас всё выглядит не так однозначно. Группа хакеров, называющая себя Turkish Crime Family, первоначально заявила о краже 559 млн учётных записей iCloud и Apple ID — и потребовала от компании Apple заплатить $75 000 в Bitcoin или Ethereum, либо $100 000 гифт-картами iTunes. Крайний срок — 7 апреля. После этого хакеры якобы начнут «убивать заложников», то есть сбрасывать аккаунты к заводским настройкам.
Поначалу это выглядело довольно забавно. Кажется, это первый случай вымогательства у компьютерной компании, когда злоумышленники расценивают базу с паролями пользователей в качестве своеобразных «заложников». Они даже опубликовали видеоролик с угрозами на YouTube, где заходят в аккаунт iCloud какой-то старушки.
21 марта 2017 года хакеры связались с изданием Motherboard и показали переписку с отделом безопасности Apple и дали доступ к почтовому аккаунту, с которого велась переписка. Переписка велась примерно 10 дней назад. Сотрудник отдела безопасности попросил у хакеров выборку аккаунтов для проверки. Он также попросил их в первую очередь удалить видео с YouTube, чтобы не выносить конфликт на публику. И предупредил, что компания не платит преступникам за то, что они нарушили закон, а копия переписки с ними будет отправлена правоохранительным органам.
Судя по всему, после этого хакеры прервали общение с отделом безопасности и решили-таки предать дело огласке. Вероятно, они связались не только с Motherboard, но и с другими средствами массовой информации. В самом деле, издание Computerworld тоже рассказало о претензиях Turkish Crime Family, причём в разговоре с ними хакеры говорили уже о 627 млн аккаунтах iCloud с паролями. Якобы дружественная хакерская группа вписалась в дело и предоставила свою базу. Соответственно, сумма выкупа теперь увеличивается с $75 000 до $150 000 в Bitcoin или Ethereum.
Представитель Apple подтвердил тогда Motherboard, что ни о какой оплате не может быть и речи, а список почтовых адресов с паролями, вероятно, был получен из посторонних источников. По интернету гуляет много различных баз данных с паролями. Однако всё-таки количество паролей в базе впечатляет. 627 млн паролей трудно собрать из сторонних баз. В общении с Computerworld «турецкие» вымогатели заявили, что более 220 млн паролей проверены и дают доступ в iCloud без двухфакторной аутентификации. Хакеры сказали, что проверили много паролей с помощью автоматизированных скриптов и большого количества прокси, чтобы избежать блокировки Apple.
История началась довольно забавно, но наглость и настойчивость вымогателей по-настоящему удивляет. Они ведут себя настолько уверенно, как будто у них действительно есть такая база.
Далее, «турецкие» хакеры заявили изданию Computerworld, что делают это в том числе чтобы распространить информацию о Кариме Баратове, гражданине Канады, которому грозит большой тюремный срок в США. Американские власти обвиняют его в том, что он проник в инфраструктуру Yahoo и украл базу с 500 млн аккаунтов по заказу двух офицеров ФСБ (факт взлома действительно был, но причастность Баратова ещё предстоит доказать в суде).
В то же время компания Apple официально заявила в СМИ, что взлома не было и ничего платить она не собирается. Если у хакеров есть какие-то пароли, то они получены со скомпрометированных аккаунтов из сторонних источников.
23 марта группа опубликовала заявление на Pastebin, в котором обрисовала текущую ситуацию и свои намерения. Хакеры сказали, что никто и не говорил о взломе, так что заявление Apple не имеет смысла. Взлома действительно не было, но это ничего не меняет в претензиях Turkish Crime Family. Они говорят, что пять лет собирали аккаунты Apple из различных баз. Теперь у них якобы есть база с 750 млн аккаунтов (цифры всё растут — прим. ред.), из которых 250 млн уже проверены на валидность, и сканирование продолжается. Хакеры говорят, что провели повторное сканирование базы, где поменяли первую букву паролей на прописную — и ещё заметно повысили процент валидности паролей, по сравнению с первым сканом.
В своём заявлении Turkish Crime Family предупредила, что с 7 апреля 2017 года их скрипты начнут сбрасывать к заводским настройкам по 150 аккаунтов в минуту на каждый скрипт. В данный момент сервер хакеров позволяет запустить 17 скриптов, так что ежеминутно каждым сервером будут удаляться 2550 пользователей. При наличии 250 серверов это означает 637 500 аккаунтов в минуту или 38 250 000 аккаунтов в час.
Хакеры постоянно упоминают о пожилых пользователях. Вероятно, они намекают, что многие пользователи Apple не смогут до 7 апреля поменять пароли и обезопасить себя от действий злоумышленников.
Тем временем журналисты издания ZDNet получили в своё распоряжение 54 аккаунта якобы из базы аккаунтов iCloud — и все они оказались валидными. Журналистам удалось связаться с владельцами 10 из 54 аккаунтов. Они подтвердили правильность паролей и поменяли их. Все они являются жителями Великобритании. Все они сказали также, что никогда не меняли пароль iCloud с момента открытия аккаунта. Многие использовали одинаковый пароль в разных сервисах, хотя трое заявили, что на iCloud у них был уникальный пароль (наверное, врут — прим. ред.).
Разумеется, это мало о чём говорит. Может быть, у хакеров вообще больше ничего нет, кроме этих 54 паролей. К тому же, это были довольно старые аккаунты icloud.com, а также совсем древние @me.com и mac.com.
В любом случае, у Apple есть несколько вариантов, как защитить своих пользователей от массового сброса аккаунтов к заводским настройкам.
Комментарии (25)
simplix
25.03.2017 09:05+2К сожалению, Apple действительно взломали. Мне достоверно известно, что в начале марта этого года злоумышленники научились не только узнавать сложные рандомизированные пароли Apple ID, которые нигде не были засвечены, но и обходить двухфакторную аутентификацию так, будто она вообще выключена. С последующей блокировкой устройства и текстом вымогания. К слову, последняя версия iOS и отсутствие джейлбрейка подразумевается. Техподдержка Apple была незамедлительно поставлена в известность со всеми подробностями взлома, однако ответа до сих пор не последовало, как и любой публичной информации. К сожалению, сейчас ничьи данные не в безопасности, пока они хранятся в интернете, как бы нас в этом не убеждали компании. В это не веришь, пока не сталкиваешься лично.
kymylep
26.03.2017 12:33+2Ого, ну раз уважаемый дядя Simplix такое говорит, то я, пожалуй, поверю, отключу «найти iPhone» до конца этой истории, чтобы потом не отсылать чеки в техподдержку Apple для разблокировки.
tomzarubin
26.03.2017 12:33«Мне достоверно известно»— подробности, конечно же, останутся за завесой тайны?
Igralino
26.03.2017 12:33+1Раз сказали «А», так говорите и «Б». Мы заинтригованы.
Может хоть расскажете, откуда такая информация?
simplix
26.03.2017 13:21Достоверно — потому что лично наблюдал и участвовал в этой истории. Сначала пришло письмо о том, что выполнен вход из браузера в iCloud, хотя владелец через него не входил, в это время телефон просто лежал на столе. К аккаунту был привязан только один телефон с включенной двухфакторной аутентификацией, т. е. когда в iCloud пытаются зайти с другого устройства, на телефоне появляется его геолокация и код подтверждения, но не в этот раз — телефон никак не отреагировал на попытку входа с другого устройства, не было и сообщений на почту о неверных попытках ввода пароля (если такие вообще присылаются). Затем через пару минут телефон заблокировался с текстом вымогания на русском языке — не дословно, но смысл: если хотите разблокировать телефон, пишите на почту gmail.com. Точный адрес не запомнил, т. е. в это же время владелец экстренно менял пароли и убрал «найти iPhone», после чего телефон разблокировался. Собственно говоря проблема не в получении доступа к телефону после блокировки, в данном случае это было сделано через привязанную почту, которую тоже не взломали, т. к. и на почте была включена двухфакторная аутентификация, а кроме этого можно ответить на контрольные вопросы или показать документы о покупке техподдержке; проблема здесь в том, что злоумышленник получил полный доступ к аккаунту и данным резервной копии в iCloud в обход всех проверок и хвалёного шифрования Apple, и убеждений компании в том, что это невероятно защищённое устройство. Новость я об этом не создавал, на это вполне ожидаемо написали бы, что такое невозможно, доказательств нет, следовательно сам виноват или обманываешь. Положительным моментом была реакция техподдержки — из чата перенаправили другому специалисту, который перезвонил, выслушал эту историю со всеми подробностями и даже поделился своей почтой apple.com, на которую уже повторно были написаны все подробности для расследования. Впрочем на эти письма он так и не ответил, поэтому не известно, нашли ли они проблему, устранили или ещё что сделали — молчат. Сейчас вариантом решения этой проблемы стало выключение синхронизации с облаком критически важных данных, ведь повтор истории ещё как возможен.
simplix
26.03.2017 13:30Ещё важный момент — после смены пароля и получения доступа к устройству, также была проверена и двухфакторная аутентификация, которая работала исправно, и по-прежнему оставалась активной. Очевидно злоумышленники нашли способ не отключать её, а обходить, будто она выключена. Также остаётся невыясненным способ узнавания паролей — о подборе здесь не может быть и речи, пароль был вида Y7xmJR8hkQ4n — длина пароля и используемые символы переданы точно.
Ghool
26.03.2017 14:07Может ломанули домашний комп юзера, где акк был зайден в браузер?
simplix
26.03.2017 14:33Это исключено, он тоже защищён, и кроме того если долго не заходить в учётную запись, пароль и код двухфакторной аутентификации требуется вводить повторно, а не входили туда долго. Жаль нигде нельзя посмотреть адреса, с которых был получен доступ, это хотя бы формально подтвердило мои слова.
MicCheck
27.03.2017 11:00Специально зашел попробовать функционал Find My iPhone. Двухфакторная аутентификация включена. Если через браузер зайти на icloud.com и залогиниться, появляется кнопка выбора способа аутентификации (sms или push на устройстве) и рядом ссылка на find my iphone. При переходе по ней отображается местоположение устройства и есть возможность воспроизвести на нем звуковой сигнал, заблокировать и отправить сообщение либо стереть. Все это можно сделать без смс/пуш. Т.е. «полного» входа в учетку не требуется.
Как я понимаю, пароль при этом злоумышленник не сможет сменить. Так что можно просто залогиниться с другого компа и отключить блокировку, параллельно сменив пароль на iCloud.
Возможно, что «хакеры» угрожают именно стиранием устройств со включенным find my iphone. Никакого воздействия на саму учетку при этом не оказывается и после стирания можно легко восстановиться из бэкапа.simplix
27.03.2017 12:59+1Проверил то же самое — после ввода логина/пароля и нажатия кнопки входа, мгновенно появилась форма двухфакторной аутентификации с мгновенным отображением соответствующего уведомления на телефоне. Действительно, выбрав устройство, можно было его заблокировать. Однако при взломе уведомления о входе не было вообще, и настройки не менялись.
TimsTims
25.03.2017 18:19+2$75.000 как-то мелковато за огромный кусок базы пользователей apple?
Niki-Z
26.03.2017 12:33А где сказано про $? Биткойн как бы «слегка» дороже доллара:)
TimsTims
26.03.2017 13:04> А где сказано про $?
Да везде:
сумма выкупа теперь увеличивается с $75 000 до $150 000 в Bitcoin или Ethereum.
monowar ни слова, что каждому.monowar
26.03.2017 20:16Смотрите на мир веселее )
— Какая сумма?
— 300
— Это несерьезно. Так не пойдет. я на русалках больше заработаю
— Ваши условия?
— 330
— Согласен
— Каждому
(к/ф «Операция „Ы“)
evilbot
26.03.2017 11:29-1Вроде как при логине в iCloud присылается письмо об том событии. При таких расладах можно отследить инфраструктуру не очень сложно.
abramof9
26.03.2017 12:32Данные события являются большим стимулом к настройке двухфакторной аутентификации. В этом случае менять каждый раз пароли при очередном «вбросе» не обязательно.
valuxin
26.03.2017 12:32+1Как говорится, много фарса да мало дела. Если бы у них был доступ к хотя бы 10 млн базе пользователей, они бы так долго не тянули до 7 апреля. Ясное дело, что нужно разогреть общественность и создать определенное давление, раз уж с Эппл не получилось. Думаю, если бы их слова были бы правдой о 240 млн аккаунтов, можно было бы просто поделиться 100тыс или 1млн из них с Эппл что бы доказать серьезность своих намерений.
Louren325
26.03.2017 12:33-1Помню в далёкие нулевые, на каких-то давно забытых сайтах раз в пол-года при заходе на сайт выводилось сообщение «Вы слишком долго пользуетесь одним паролем — смените его» и форма принудительной смены.
Учитывая такой глобальный слив — сделать массовый сброс паролей это совсем зашквар для компаний такого уровня? Честно говоря не понимаю, что мешает так поступить.
rostislav-zp
26.03.2017 12:33+1Работаю в небольшой торговой сети. Последние пару месяцев люди приходят с айфонами в режиме пропажи и все с одинаковым сообщением с требованием выкупа.такое только в прошлом году после слива паролей от рамблер почты происходило. Мне лично внезапно сообщение с подтверждением входа в icloud через смс приходило недавно. Хотя я этого не делал.
KorDen32
А ведь когда-то (2010) icloud.com был облачным сервисом компании Xcerion, затем домен перешел Apple, сервис переименовался вначале в CloudMe, затем в CloudTop…