A támadásnál valószínűsíthetően a Find My iPhone szolgáltatásban rejlő gyenge-pontot használták ki, és ennek segítségével tudtak hozzáférni a fiókokhoz. Az úgynevezett brute-force támadás lényege ugyanis az, hogy folyamatos ismétléssel addig próbálgatják a valószínű jelszavakat, amíg egyszer csak nem járnak sikerrel. Az ilyen támadások ellen csak az nyújt védelmet, ha korlátos a lehetséges próbálkozások száma - meg persze ha nem "abc123" a jelszó, de erről majd később.
Míg ez a limit például az iCloud rendszerben már korábban is be volt állítva, sajnos a támadás idején a Find My iPhone funkcióra viszont nem. Persze utóbb aztán az Apple aktiválta a brute-force védelmet a Find My iPhone szolgáltatásra is, csak hát ugye későn. Végül aztán - vége jó, minden jó - kétlépcsős azonosítást kaptak az iCloud backupok is, valamint e-mail értesítést is bevezettek, melyben a felhasználóknak azonnal jelzik, ha valaki megpróbálja megváltoztatni az Apple ID jelszavukat, vissza akarja állítani az iCloud adataikat vagy amikor éppen először jelentkeznek be egy új eszközön a felhasználói fiókjukba.
Az érdekesség kedvéért érdemes vissza idézni Vladimir Katalov 2013. május 30-i blogposztját az iCloud biztonságával kapcsolatban. Láthatóan ez sem szerepelt a kedvenc olvasmányok között, ugyanis itt éppen az Elcomsoft Phone Password Breaker segítségével férnek hozzá a felhasználók személyes adataihoz, mint például a korábbi mentés, vagy hogy a bekapcsolt kétfaktoros autentikáció ellenére a biztonságos ellenőrző kód a lezárt készülék képernyőn is olvasható formában érkezik.
Jól láthatóan a biztonság egy olyan bonyolult struktúra, ahol nem elég egyszer beledobálni a buzzwordoket, majd hátradőlni a karosszékben, hanem folyamatosan oda kell figyelni arra, hogy a védelem minden lehetséges szintre terjedjen ki. Kiegészítve mindezt azzal, hogy az újonnan felfedezett támadási formák miatt állandóan javítani, fejleszteni is szükséges, hiszen a támadók felkészültek, és láthatóan roppant leleményesek.
Itt egyébként még egy dologgal érdemes előhozakodni. Minden nagyobb adatlopási incidens esetén a média, és a bulvárlapok hajlamosak azonnal a számítógépes rendszereket, és a technológiát szidni, hibáztatni. Ebben persze részben - ahogy a fentiek is mutatják - van is némi igazság, ám ez mindenképpen csak az érem egyik oldala. Ugyanis legtöbbször emberi hiba, felhasználói mulasztás is okozza az ilyen incidensek jelentős részét.
Sok esetben - például Google, Facebook - rendelkezésre áll ugyan a 2FA lehetőség, sokan mégsem élnek vele. De emellett ha valaki gyenge és primitív jelszót használ, ráadásul ugyanazt több helyen is, vagy pillanatok alatt kitalálható biztonsági kérdéseket alkalmaz, akkor ő is vastagon felelős a kialakult helyzetért. Vagyis minden hibázó félnek, mulasztó szereplőnek le kell vonnia a tanulságot az ilyen esetekből.
Zárásképpen említsük meg, hogy volt már korábban is olyan NakedSecurity szavazás, ahol a mi legyen az alapértelmezett megosztás a Facebookon kérdésre egyértelmű túlsúllyal jelezték a válaszadók, hogy az lenne a jó, hogy defaultból legyen minden privát, és majd a felhasználó megosztja, amit éppen akar. Ennek ellenére ismert, hogy ennek pont az ellenkezője igaz, és csak győzze az ember visszavenni a publikus információkat szolgáló pipákat. Vagyis viccesen mondva a Facebooknál viszont szemlátomást azóta sem olvasnak IT security blogokat.
