หลังเหตุการณ์ภาพหลุดดาราเป็นวงกว้าง ความปลอดภัยของ iCloud น่าสงสัยขึ้นเรื่อยๆ ล่าสุด Nik Cubrilovic บล็อกเกอร์ที่เคยทำงานกับ TechCrunch ออกมาเขียนวิเคราะห์ถึงจุดอ่อนของ iCloud

เขาระบุว่าแม้แอปเปิลจะไม่เปิดเผยว่ามีอีเมลอะไรใช้งานกับ iCloud อยู่บ้าง แต่ในความเป็นจริงแล้วแฮกเกอร์สามารถเรียก API ผ่าน https://appleid.apple.com/account/validation/appleid ได้โดยไม่จำกัด (เหมือนบั๊ก Find my iPhone ที่แอปเปิลเพิ่งแก้ไปเมื่อต้นสัปดาห์) ทำให้แฮกเกอร์สามารถพยายามเดาอีเมลของเหยื่อสักคนไปเรื่อยๆ หลังจากนั้นแอปเปิลจะถามวันเกิดซึ่งสามารถหาได้โดยง่ายโดยเฉพาะดาราชื่อดัง ขั้นสุดท้ายจะเป็นคำถามความปลอดภัยสองคำถามเท่านั้น ซึ่งหากแฮกเกอร์ตอบผิดก็สามารถกดขอคำถามใหม่ได้อีกด้วย

Christina Warren นักเขียนของ Mashable ทดลองตามกระบวนการนี้และพบว่าสามารถรีเซ็ตรหัสผ่านของน้องสาวได้โดยง่าย ยังไม่นับถึงช่องโหว่อย่าง iBrute

จนทุกวันนี้กระบวนการล็อกอินแบบสองปัจจัยช่วยแก้ปัญหานี้ได้ เพราะเมื่อเปิดใช้งานแล้ว บัญชี iCloud จะใช้การยืนยันตัวตนด้วยปัจจัยที่สองมารีเซ็ตรหัสผ่านแทนที่คำถามที่เดาได้ง่าย

ที่มา - NikCub, Mashable