Wszyscy w koło mu to powtarzają, takie były zalecenia lekarza.

podejrzewam, ze nawet tczewiak do konca nie kuma jak oni sie tam wjebali po tym jak rozwalili pierwsze haslo ibrutem po 36h korzystajac zapewne ze slownikow. Dla mnie czarna magia mimo ze probowalem przez te kilkudziesieciostronicowe howto ruskich przebrnac. Dla was zapewne identycznie sadzac po lakonicznych wpisach tczewa i idiotycznych reszty.

copy&paste z wikipedii, ktora jest debilna jak zauwazyl Goatus, bo nie wziela pod uwage ze wiekszosc hasel jest prostacka i sila klucza ma sie nijak do sily hasla.

Dno dna, metr mułu, a ten bierze saperke, wstrzymuje oddech i kopie dalej.

Marcinie, ale co ma siła szyfrowania do hasła? Oświeć mnie.

X.

Słyszał o botnetach?
Nie trzeba przebrnąć przez ileś stron po rusku - hasła: botnet, api, brak weryfikacji dwuetapowej przy dostępie przez api.
Klucz wykorzystywany jest do przesyłania hasła. Sam sobie możesz go wygenerować. Także to co wkleiłeś nie ma KOMPLETNIE wpływu na formę ataku.
Z dobrym botnetem i hasłem 10 znakowym da się to złamać w 20-30 minut.

a w jaki sposób pobrali account settings na swoje urządzenie apple do hackowania?
Oni korzystali z keychaina który storuje na urządzeniu wszelkie hasła, dane kart kredytowych (btw. wyciekły tylko fotki?) na urządzeniu. W jakiś sposób przypisywali nowemu urządzeniu account settings już istniejącego urządzenia po czym bruteforcem (poprzez tą appkę z dziurą) wyjmowali z niego hasła.
To było raczej offline.

API. Tak działało API appleowskie.
To nie było włamanie na telefony, a do iClouda. Jak ktoś sobie fotki CC nie zrobił to z iC nie wyciągnęli tego.

to teraz doczytaj co to jest keychain.

keychain nie wyłącza dostępu przez hasło do API iClouda...

chodzi mi o to, że keychain jest częścią iCloud-a. Posiadając dostęp do iClouda masz dostęp do Keychaina w którym przechowuje się też dane kart kredytowych używanych np. do zakupów w apple store. Co prawda w postaci zaszyfrowanej.



potem trochę czarnej magii i konkluzja:



stąd wniosek, że dane CC przechowywanych w keychain też mogły wypłynąć - po drodze dosyć szczegółowo opisany jest sposób jak je odczytać.

A i jeszcze jedno - odnośnie tego bruteforce. Jeżeli to było jednak robione online to czy standardem jest, że taki "login server" kompletnie nie reaguje dostając pierdylion zapytań odnośnie jednego rekordu na sekundę? Przecież to prawie podchodzi pod ddos czy flooding (czy jak to się w tej itowskiej gwarze mówi). Jeżeli tak jak piszesz tysiące++ komputerów połączonych w botnet odpytywało login server iclouda z kolejnych haseł to jak to możliwe, że po pierwsze nikt tego nie zauważył, a po drugie serwer się nie wykoryptnął. Ruch musiał być dużo większy niż standardowy. Nie ma jakichś automatycznych skryptów które reagują na takie sytuacje?
Przecież napisanie skryptu który banuje dane ip na określony czas to chyba błahostka?

Włamywacz musiałby posiadać "masterkey" co jest raczej bardzo wątpliwe. Za takie rzeczy nikt się nawet nie bierze. Za duże nakłady vs. potencjalny zysk. Dużo łatwiej pozyskać CC z innych źródeł. Tutaj część włamywała się dla sportu, a inni handlowali rozbieranymi fotkami/szantażowali ofiary.
Chodzi jednak o sam fakt, że apple wiedziało o poważnej luce i zbagatelizowało problem. Zmienili dostęp przez API po 1 września jak nastał fappening.
Gmail miał to samo, ale przez ~3 miesiące i załatali.
Teraz w przypadku 3krotnej pomyłki za pomocą API trzeba potwierdzić dostęp na stronie gmaila/iclouda.

Mnie przeraża to, że pedofile sobie kupowali fotki dzieciaków z iclouda. Razem z adresami itp. :/ Przynajmniej tak to na TOR przedstawiali, że na tym hackerzy spory kapitał zbili. Jedyna nadzieja, że wyłapali skurwieli po przejęciu silkroad.

Edit do edytki Marka: Tak dokładnie tak. Nie reagował i o to jest szum. Bo to kompletna amatorka. Gmail miał antyflood przez api, ale to i tak botnet leciał w ten sposób, że po kolei różne konta z jednego ip testował, a potem zapętlał. W iCloudzie nawet tego nie utrudnili.
Serwery stojące w chmurze tak łatwo nie padają. Ruch jest dzielony pomiędzy różne węzły. Google u siebie zauważyło i poprawiło stosunkowo szybko. Apple jak już napisałem - sprawę olało.

Change your Twitch password — streaming site warns of possible hack (update)

http://venturebeat.com/2015/03/23/chang ... ized-hack/