Thông thường, nếu người dùng điền không đúng mật khẩu 5 lần, Apple sẽ khóa tài khoản một thời gian nhất định. Tuy nhiên, đầu tháng 10, một hacker đã phát hiện ra cách vượt qua cơ chế bảo vệ trước kiểu tấn công brute force của Apple.
(Brute force hoạt động bằng cách thử tất cả các mật khẩu có thể để tìm ra mật khẩu đúng. Thông thường, các dịch vụ sẽ ngăn kiểu tấn công này bằng cách tạm thời khóa tài khoản nếu người sử dụng nhập sai password quá số lần quy định).
Có nghĩa, bất cứ người nào muốn thâm nhập tài khoản iCloud của ai đó đều có thể thoải mái điền hàng loạt mật khẩu khác nhau mà không sợ bị khóa.
Quá trình dò này được thực hiện trên website icloud.com thay vì trên điện thoại. Chuyên gia bảo mật Nguyễn Hồng Phúc cho biết, về cơ bản, lỗi này có mức độ nghiêm trọng vừa phải do không trực tiếp ảnh hưởng tới dữ liệu của Apple. Nó chỉ giúp việc dò mật khẩu trở nên khả thi. Người bị ảnh hưởng sẽ là những người dùng mật khẩu iCloud ngắn và dễ đoán.
Qua thử nghiệm, chuyên gia này cũng đã tìm ra được mật khẩu của một số người quen. Do đó, anh khuyến cáo mọi người nên sớm đổi sang các mật khẩu dài và phức tạp.
Cuối tháng 8/2014, một loạt ảnh và video khỏa thân của các mỹ nhân như Jennifer Lawrence, Kate Upton, Vanessa Hudgens, Rihanna... đã bị tung lên mạng sau khi hacker đánh cắp chúng từ tài khoản iCloud của các nữ diễn viên.
Trang Github phát hiện hacker đã khai thác lỗ hổng (tạm gọi là iBrute) trong dịch vụ Find My iPhone của Apple để có thể đoán và nhập mật khẩu nhiều lần.
Ngay sau đó, Apple đã vá lỗ hổng trên và nếu người dùng nhập sai mật khẩu 5 lần, tài khoản iCloud của họ tạm thời bị khóa.
