Apple Friday ontkende de details van het rapport van gisteren dat een Australische schooljongen vorig jaar op zijn servers was ingebroken, 90 GB aan gegevens had gedownload en toegang had tot klantaccounts.
Reuters citeerde een woordvoerder van Apple als volgt:
Het informatiebeveiligingspersoneel van Apple ontdekte de ongeautoriseerde toegang, hield deze vast en meldde het incident aan de politie. We willen onze klanten verzekeren dat hun persoonlijke gegevens op geen enkel moment tijdens dit incident zijn aangetast.
Zoals we gisteren berichtten, zei de Australische krant The Age dat de jongen, wiens naam om juridische redenen niet kan worden onthuld omdat hij een jeugdige dader was, erin is geslaagd om "geautoriseerde sleutels" te verkrijgen die inlogtoegang geven aan gebruikers.
Hij kon ongeveer 90 GB aan "beveiligde bestanden" downloaden.
De krant beweerde dat de jongen toegang had tot klantenaccounts als onderdeel van zijn belediging. De jongen pleitte schuldig aan het hacken van de servers van het bedrijf nadat een FBI-aanval op zijn ouderlijk huis gedownloade bestanden op zijn computer had onthuld, samen met een map die een schat aan hulpmiddelen en documenten bevatte om te hacken.
De map werd amusant "hacky hack hack" genoemd. Het rapport voegde eraan toe dat de jongen opschepte over zijn activiteiten op de mobiele berichtenservice WhatsApp. Naar verluidt rechtvaardigde hij zijn acties door onderzoekers te vertellen dat hij 'had gedroomd' bij Apple te werken.
In mijn commentaar op het oorspronkelijke verhaal schreef ik dat ik niet dacht dat de tiener zich een weg naar de servers van Apple had gehackt door de bescherming van Apple te omzeilen of de coderingssleutels te pakken te krijgen. In plaats daarvan, betoogde ik, heeft hij waarschijnlijk toegang gekregen tot gebruikersnamen en wachtwoorden van enkele iCloud-accounts via social engineering, phishing-aanvallen of andere methoden.
Hij zou dan waarschijnlijk een aanstootgevend iCloud-account op zijn eigen apparaat instellen en de gegevens van een nietsvermoedende gebruiker zoals foto's, berichten, contacten en meer herstellen (dat wil zeggen 90 GB aan "beveiligde bestanden" downloaden).
Dit hele verhaal klinkt voor mij heel erg als een van die hacks met iCloud-phishing om naaktfoto's van beroemdheden te stelen. In het oorspronkelijke rapport stond inderdaad dat de jongen "geautoriseerde sleutels" in handen kreeg (toegangsgegevens voor individuele iCloud-accounts).
gedachten?
