База Apple ID

Проверка паролей из хакерской базы iCloud


Компания Apple стала жертвой вымогателей. Это очень странная история, которая началась как фарс, но сейчас всё выглядит не так однозначно. Группа хакеров, называющая себя Turkish Crime Family, первоначально заявила о краже 559 млн учётных записей iCloud и Apple ID — и потребовала от компании Apple заплатить $75 000 в Bitcoin или Ethereum, либо $100 000 гифт-картами iTunes. Крайний срок — 7 апреля. После этого хакеры якобы начнут «убивать заложников», то есть сбрасывать аккаунты к заводским настройкам.
Поначалу это выглядело довольно забавно. Кажется, это первый случай вымогательства у компьютерной компании, когда злоумышленники расценивают базу с паролями пользователей в качестве своеобразных «заложников». Они даже опубликовали видеоролик с угрозами на YouTube, где заходят в аккаунт iCloud какой-то старушки.
21 марта 2017 года хакеры связались с изданием Motherboard и показали переписку с отделом безопасности Apple и дали доступ к почтовому аккаунту, с которого велась переписка. Переписка велась примерно 10 дней назад. Сотрудник отдела безопасности попросил у хакеров выборку аккаунтов для проверки. Он также попросил их в первую очередь удалить видео с YouTube, чтобы не выносить конфликт на публику. И предупредил, что компания не платит преступникам за то, что они нарушили закон, а копия переписки с ними будет отправлена правоохранительным органам.

Судя по всему, после этого хакеры прервали общение с отделом безопасности и решили-таки предать дело огласке. Вероятно, они связались не только с Motherboard, но и с другими средствами массовой информации. В самом деле, издание Computerworld тоже рассказало о претензиях Turkish Crime Family, причём в разговоре с ними хакеры говорили уже о 627 млн аккаунтах iCloud с паролями. Якобы дружественная хакерская группа вписалась в дело и предоставила свою базу. Соответственно, сумма выкупа теперь увеличивается с $75 000 до $150 000 в Bitcoin или Ethereum.
Представитель Apple подтвердил тогда Motherboard, что ни о какой оплате не может быть и речи, а список почтовых адресов с паролями, вероятно, был получен из посторонних источников. По интернету гуляет много различных баз данных с паролями. Однако всё-таки количество паролей в базе впечатляет. 627 млн паролей трудно собрать из сторонних баз. В общении с Computerworld «турецкие» вымогатели заявили, что более 220 млн паролей проверены и дают доступ в iCloud без двухфакторной аутентификации. Хакеры сказали, что проверили много паролей с помощью автоматизированных скриптов и большого количества прокси, чтобы избежать блокировки Apple.
История началась довольно забавно, но наглость и настойчивость вымогателей по-настоящему удивляет. Они ведут себя настолько уверенно, как будто у них действительно есть такая база.
Далее, «турецкие» хакеры заявили изданию Computerworld, что делают это в том числе чтобы распространить информацию о Кариме Баратове, гражданине Канады, которому грозит большой тюремный срок в США. Американские власти обвиняют его в том, что он проник в инфраструктуру Yahoo и украл базу с 500 млн аккаунтов по заказу двух офицеров ФСБ (факт взлома действительно был, но причастность Баратова ещё предстоит доказать в суде).
В то же время компания Apple официально заявила в СМИ, что взлома не было и ничего платить она не собирается. Если у хакеров есть какие-то пароли, то они получены со скомпрометированных аккаунтов из сторонних источников.
23 марта группа опубликовала заявление на Pastebin, в котором обрисовала текущую ситуацию и свои намерения. Хакеры сказали, что никто и не говорил о взломе, так что заявление Apple не имеет смысла. Взлома действительно не было, но это ничего не меняет в претензиях Turkish Crime Family. Они говорят, что пять лет собирали аккаунты Apple из различных баз. Теперь у них якобы есть база с 750 млн аккаунтов (цифры всё растут — прим. ред.), из которых 250 млн уже проверены на валидность, и сканирование продолжается. Хакеры говорят, что провели повторное сканирование базы, где поменяли первую букву паролей на прописную — и ещё заметно повысили процент валидности паролей, по сравнению с первым сканом.
В своём заявлении Turkish Crime Family предупредила, что с 7 апреля 2017 года их скрипты начнут сбрасывать к заводским настройкам по 150 аккаунтов в минуту на каждый скрипт. В данный момент сервер хакеров позволяет запустить 17 скриптов, так что ежеминутно каждым сервером будут удаляться 2550 пользователей. При наличии 250 серверов это означает 637 500 аккаунтов в минуту или 38 250 000 аккаунтов в час.
Хакеры постоянно упоминают о пожилых пользователях. Вероятно, они намекают, что многие пользователи Apple не смогут до 7 апреля поменять пароли и обезопасить себя от действий злоумышленников.
Тем временем журналисты издания ZDNet получили в своё распоряжение 54 аккаунта якобы из базы аккаунтов iCloud — и все они оказались валидными. Журналистам удалось связаться с владельцами 10 из 54 аккаунтов. Они подтвердили правильность паролей и поменяли их. Все они являются жителями Великобритании. Все они сказали также, что никогда не меняли пароль iCloud с момента открытия аккаунта. Многие использовали одинаковый пароль в разных сервисах, хотя трое заявили, что на iCloud у них был уникальный пароль (наверное, врут — прим. ред.).
Разумеется, это мало о чём говорит. Может быть, у хакеров вообще больше ничего нет, кроме этих 54 паролей. К тому же, это были довольно старые аккаунты icloud.com, а также совсем древние @me.com и mac.com.
В любом случае, у Apple есть несколько вариантов, как защитить своих пользователей от массового сброса аккаунтов к заводским настройкам.