Brute force hoạt động bằng cách thử tất cả các mật khẩu có thể để tìm ra mật khẩu đúng. Thông thường, các dịch vụ sẽ ngăn kiểu tấn công này bằng cách tạm thời khóa tài khoản nếu người sử dụng nhập sai password quá số lần quy định.
Tuy nhiên, hacker đã khai thác lỗ hổng trong dịch vụ Find My iPhone để đoán và nhập mật khẩu nhiều lần, lỗi này có tên gọi là iBrute. Theo trang github, công cụ này có một bảng danh sách 500 mật khẩu thông dụng kết hợp với tool iDict nhằm tự động dò password tài khoản iCloud.
Đây không phải là hình thức đánh cắp mật khẩu iCloud mới. Nó đã xuất hiện trước đó, đặc biệt khi một loạt ảnh và video khỏa thân của các mỹ thân Hollywood như Jennifer Lawrence, Kate Upton…bị tung lên mạng cũng vì hacker sử dụng tool kể trên.
Phần mềm hack pass iCloud có kho 500 mật khẩu thông dụng. (Ảnh chụp màn hình) |
Lời khuyên của các chuyên gia bảo mật là nên thiết lập mật khẩu iCloud đủ dài và bao gồm cả chữ và số. Tuyệt đối không sử dụng các cụm từ phổ biến, tên, ngày tháng năm sinh, số chứng minh thư…Thêm nữa, người dùng nên tạo mật khẩu 2 lớp cho tài khoản iCloud.
Cuối tháng 8/2014, một loạt ảnh và video khỏa thân của các mỹ nhân như Jennifer Lawrence, Kate Upton, Vanessa Hudgens, Rihanna... đã bị tung lên mạng sau khi hacker đánh cắp chúng từ tài khoản iCloud của các nữ diễn viên.
Trang github phát hiện hacker đã khai thác lỗ hổng (tạm gọi là iBrute) trong dịch vụ Find My iPhone của Apple để có thể đoán và nhập mật khẩu nhiều lần.
Ngay sau đó, Apple đã vá lỗ hổng trên và nếu người dùng nhập sai mật khẩu 5 lần, tài khoản iCloud của họ tạm thời bị khóa.