Come riportato martedì da Motherboard, gli hacker che vanno sotto il nome in codice "Turkish Crime Family" hanno presumibilmente ottenuto, con mezzi sconosciuti, l'accesso a centinaia di milioni di account e-mail Apple, incluse le caselle di posta iCloud con indirizzi e-mail sui domini @icloud e @me.
Stanno minacciando di cancellare in remoto i dispositivi iOS a meno che Apple non paghi un riscatto ridicolo. È da notare che iCloud non è mai stato violato direttamente e altri motivi rendono difficile questa storia da ingoiare.
Stanno chiedendo che Apple paghi un riscatto entro il 7 aprile sotto forma di:
- O $ 75.000 in criptovalute Bitcoin o Ethereum;
- O $ 100.000 in buoni regalo iTunes.
Se la società di Cupertino non soddisfa la richiesta, il gruppo afferma che ripristinerà gli account e cancellerà efficacemente tutti i dati sui dispositivi Apple associati.
Cercando di esercitare pressioni da parte dei media per forzare i pagamenti da parte di Apple, uno degli hacker ha dichiarato: "Voglio solo i miei soldi e ho pensato che questo sarebbe un rapporto interessante sul fatto che molti clienti Apple sarebbero interessati a leggere e ascoltare".
Il gruppo originariamente aveva condiviso un video di YouTube che avrebbe dimostrato di aver violato l'account iCloud di una donna anziana. Il video ha anche dimostrato la possibilità di cancellare da remoto i dispositivi, il che è banale quando si ha accesso agli ID Apple sottostanti.
Iscriviti a iDownloadBlog su YouTube
È stato successivamente rimosso dopo che un membro del team di sicurezza di Apple ha rifiutato il riscatto e ha richiesto che il video fosse portato offline. Ecco cosa apparentemente un membro senza nome del team di sicurezza di Apple ha scritto agli hacker una settimana fa:
Innanzitutto ti chiediamo gentilmente di rimuovere il video che hai caricato sul tuo canale YouTube in quanto cerca attenzioni indesiderate.
In secondo luogo, vorremmo che tu sapessi che non premiamo i cyber criminali per aver infranto la legge.
Il presunto membro del team Apple ha avvertito il gruppo che le comunicazioni archiviate con loro verranno inviate alle autorità. La compagnia di Cupertino non aveva commentato pubblicamente la situazione al momento in cui scrivevo, il suo solito modus operandi.
Questa è una storia ridicola, secondo la mia opinione personale.
Innanzitutto, ci sono incoerenze.
Gli hacker inizialmente avevano dichiarato di avere 300 milioni di account per riscatto. La cifra è successivamente cambiata in 559 milioni di account. È importante sottolineare che non hanno fornito alla scheda madre una cache di dati degli account iCloud presumibilmente rubati per verificare i reclami.
L'unico elemento di prova che hanno fornito è stato sotto forma di presunti screenshot (le immagini sono facilmente falsificabili, intendiamoci) delle presunte e-mail tra il gruppo e i membri del team di sicurezza di Apple.
"La scheda madre ha visto solo uno screenshot di questo messaggio e non l'originale", afferma l'articolo. Per quel che vale, il gruppo ha concesso a Motherboard un accesso temporaneo a un account e-mail presumibilmente utilizzato per comunicare con Apple come prova.
Lo stesso account e-mail era presente nel video YouTube ora rimosso.
Se avessi accesso a 300 milioni di account iCloud, richiederesti solo $ 75.000?
È sicuro presumere che alcuni degli account rivendicati avrebbero attivato la funzione di autenticazione a due fattori di Apple. Il problema è che i server di autenticazione a due fattori di Apple non sono mai stati hackerati direttamente su larga scala. Perdite di foto compromettenti di celebrità dagli account iCloud? Era solo un ingegnere sociale intelligente.
Voglio dire, mi guardi con una faccia seria e mi dici che hanno compromesso centinaia di milioni di account iCloud appartenenti a utenti sconosciuti solo tramite il social engineering.
La risibile richiesta di buoni regalo iTunes è notevole anche qui. Non si emette solo una grave minaccia come questa e si richiede una piccola quantità di denaro, dando potenzialmente ad Apple il tempo sufficiente per correggere eventuali vulnerabilità nei sistemi iCloud.
Se fossi "Famiglia di criminalità turca", prenderei dieci milioni di account offline, in modo che Apple mi prendesse sul serio prima di provare a estorcere la società, non per un misero $ 75.000 ma per una somma di sette cifre. D'altra parte, il motivo per cui hanno chiesto una piccola somma di denaro potrebbe essere la speranza che Apple paghi rapidamente e silenziosamente.
TUTORIAL: Come proteggere il tuo ID Apple con l'autenticazione a due fattori
Come ha commentato Seb, inizia a chiedere milioni e corri il rischio che Apple lo guardi più in profondità, potenzialmente contattando l'FBI (caso esemplare: la reazione aggressiva di Apple al prototipo di iPhone 4 rubato nel 2010). Non sono sicuro del motivo per cui Motherboard lo abbia ritenuto abbastanza degno di nota e affidabile da pubblicare, ma non sto comprando questa storia.
Tu sei? E dovrebbe Apple franare e pagare, per ogni evenienza?
Fonte: scheda madre