Parę dni temu Internet obiegły prywatne zdjęcia celebrytek, które zostały wykradzione z ich kont iCloud. Wina leży zarówno po stronie poszkodowanych, jak i Apple – ci ostatni nie zauważyli błędu w Find my iPhone, który pozwalał na nielimitowane zgadywanie haseł. Błąd został naprawiony, ale to nie koniec zmian.
Tim Cook dzisiaj udzielił wywiadu dla The Wall Street Journal, w którym potwierdził, że konta zostały zhackowane poprzez udzielenie poprawnych odpowiedzi na pytania pomocnicze, które są zadane, gdy użytkownik zapomni hasła. Jednocześnie potwierdził, że żadne dane nie wyciekły z serwerów Apple. Z jednej strony to ważna informacja – oznacza, że dane same z siebie nie potrafią opuścić serwerów, ani że nikt w Apple im w tym nie pomógł. Jednak z drugiej strony, gdy ktoś kradnie samochód ze strzeżonego parkingu, właściciel wini za to złodzieja, czy stróża parkingowego? Zgodnie ze stanowiskiem Apple, celebrytki posiadały banalne odpowiedzi na wspomniane pytania zabezpieczające.
Właśnie dlatego, Tim Cook stara się wytłumaczyć w swoich wypowiedziach, że problemem nie były zabezpieczenia oferowane przez Apple – problemem było ich złe użycie. To tak jakby właściciel tego skradzionego samochodu zostawił kluczyki na ławce w parku. Strażnik nie zwraca uwagi na to, czy osoba, która wjeżdża na parking to ta sama, która wyjeżdża z niego. Dokładnie taka sytuacja miała miejsce w tym przypadku. Ktoś dotarł do haseł i zwyczajnie wszedł na konta iCloud.
Najniebezpieczniejsza część historii to historia zdjęć, które zostały wykradzione. Otóż część z nich miała już swoje lata, ale co ważniejsze – część z nich była skasowana miesiące temu. To oznacza, że ktokolwiek włamał się na konta, miał do nich dostęp od jakiegoś czasu. Tutaj wychodzi, moim zdaniem, największa wada chmury jeśli chodzi o bezpieczeństwo. Gdy ktoś kradnie telefon, poszkodowany dowiaduje się praktycznie momentalnie, szczególnie dzisiaj, gdy wszyscy jesteśmy wgapieni w komórki całymi dniami. Gdy ktoś włamuje się na chmurę, informacja ta może być niewidoczna dla poszkodowanego przez lata.
Cook obiecał, że rozwiążą ostatnią kwestię. Apple wprowadzi powiadomienia (push oraz alerty e-mail) o niespodziewanych próbach zmiany hasła, o rozpoczęciu czyszczenia zawartości iCloud czy o nowym urządzeniu, które loguje się do naszego konta. Firma potrzebuje około dwóch tygodni na wdrożenie tego rozwiązania. W podobnym terminie powinna pojawić się aktualizacja do iOS 8, która doda dwustopniową weryfikację iCloud do urządzeń z iOS.
Niestety, to nie pomoże, dopóki pierwsza kwestia nie będzie rozwiązana. Wiele osób ciągle używa banalnych haseł. Dzisiaj coraz częściej widuje się praktyki, gdy w przypadku rejestracji do nowego serwisu, wymaga on hasła zawierającego dużą oraz małą literę, cyfrę, a także znak specjalny. To jednak za mało – ciągle pozostaje kwestia nieszczęsnych pytań pomocniczych. W dobie Facebooka pytanie o nazwisko panieńskie matki jest równoznaczne z udzieleniem dostępu do konta. Ważne jest, aby wybierać pytania osobiste, a także udzielać odpowiedzi niezgodnych z prawdą. Można wpisać tam nawet losowy ciąg znaków, byle go nie zapomnieć. Popularnym sposobem na “zapamiętywanie” haseł jest używanie aplikacji typu 1Password – schowka, do którego kluczem jest jedno, główne hasło. Problem pojawi sie, gdy ktoś jednak pozna to jedno, jedyne hasło. Wraz z iOS 8 będzie można otworzyć schowek za pomocą Touch ID. Czytnik palców to na ten moment najbezpieczniejszy sposób na identyfikację użytkownika, jeśli ten nie chce zapamiętać konkretnego ciągu znaków.
Wybór należy do Was. Pamiętajcie jednak, że czasem warto poświęcić parę chwil na nauczenie się bardziej skomplikowanego hasła, czy paru dolarów na zakup 1password, niż ryzykować jakąkolwiek stratę. Niekoniecznie materialną.