Un profesional de seguridad descubrió una vulnerabilidad en el sistema de autenticación de dos pasos de iCloud. La vulnerabilidad permitió a los piratas informáticos ingresar a una cuenta que solo conocía el número de teléfono de la víctima. Por el momento, la vulnerabilidad se ha solucionado y esta posibilidad ya no existe.
Un especialista del equipo Zero Hack pudo piratear una cuenta de iCloud utilizando la técnica de “fuerza bruta basada en el riesgo de carrera”. Es ligeramente diferente al estándar. El pirata informático aprovechó la vulnerabilidad y envió varias solicitudes de restablecimiento de contraseña.
Normalmente, las empresas se protegen de esta técnica limitando el número de solicitudes de restablecimiento de contraseña de un solo usuario. Apple tiene un máximo de 5 intentos, después de los cuales la cuenta se bloquea durante varias horas. Sin embargo, el pirata informático envió solicitudes desde diferentes direcciones IP y logró engañar al sistema y aún así piratear la cuenta.
Si conoce el número de teléfono del usuario, también puede obtener un código de restablecimiento de contraseña de 6 dígitos. Sin embargo, después de seis intentos fallidos, Apple bloquea la dirección IP.
El hacker informó a Apple sobre la vulnerabilidad en junio de 2020, a lo que la empresa respondió que el método solo funciona con aquellas cuentas que no estaban vinculadas al iPhone, Mac o iPad. Además, no todo el mundo puede utilizar 28.000 direcciones IP. La compañía describió la vulnerabilidad como menor.
En abril de 2021, se lanzó una actualización para corregir esta vulnerabilidad. Apple ofreció al pirata informático 18.000 dólares como recompensa, pero él se negó y calificó el trato de injusto porque el problema era mucho mayor.
Ver similar
iCloud
