http://www.clien.net/cs2/bbs/board.php?bo_table=news&wr_id=1863186

애플은 연예인 사진이 유출된 데 대한 공식 입장을 내놓았습니다. (전문 번역: 모두의공원 쿠도군님)

일부 유명인에 대한 사진 유출 사건을 조사한 것에 대한 진행 상황을 알려드리고자 합니다. 저희는 이번 사건에 대한 이야기를 처음 듣고 나서 매우 분노하였으며 즉각 애플의 엔지니어들을 소집해 진원을 찾아내기 위해 노력했습니다. 고객의 사생활과 보안은 저희에게 가장 중요한 요소이기 때문입니다. 40시간 이상의 조사 이후, 일부 유명인의 계정이 인터넷에서 흔히 일어나는 사용자 이름, 비밀번호, 그리고 보안 질문에 대한 특정 표적 공격을 당해 유출되었음을 확인하였습니다. 또한 저희가 조사한 어떠한 경우에서도 아이클라우드나 “내 아이폰 찾기” 서비스 등을 포함한 애플의 시스템이 직접 해킹을 당한 결과가 아님을 알려드립니다. 저희는 법 집행 기관과 협력하여 관계된 범죄자의 신원을 확보하기 위해 노력하고 있습니다.
이러한 공격을 막기 위해서, 모든 사용자들이 강한 비밀번호를 설정하고 2단계 인증을 사용할 것을 권장하는 바입니다. 이 두 가지 방법 모두 웹사이트에 기재되어 있습니다.

FBI 또한 지난 1일 문제의 사건을 인지하고 있으며 해당 문제에 대해 취급하고 있다고 언론에 밝힌 바 있습니다.

* 출처 : Apple

번역하면서 든 느낌은, 이전에 "내 아이폰 찾기" 서비스의 취약점을 이용한 브루트 포스 공격이 원인이었다라는 주장을 차단하기 위해서 내 아이폰 찾기 서비스가 뚫리지 않았다는 주장을 펴는 것 같았습니다. 따라서, 애플의 입장은 "다른 데서 비밀번호를 알아냈을 가능성이 높다"라는 얘기인 거 같더군요. 즉, "특정 표적 공격"이라는 것은 작정하고 다 알아내서 털었다는 얘기같기도 합니다.

-> 번역하신분의 추가 의견


http://news.naver.com/main/read.nhn?mode=LSD&mid=shm&sid1=105&oid=018&aid=0003066097&cid=512473&iid=48835136

기사로도 나왔군요.

애플이 말하는건 아이클라우드가 해킹된게 아닌 그냥 인터넷에서 흔히 일어나는 사용자 이름, 비밀번호, 보안질문등의 모든 공통적인 관행에 대한 표적화된 공격으로 당한것이다라는 군요.

간단히 말하면 이거군요.
아이클라우드 서버 자체가 해킹 당한것도 아니고 그 어떤 애플이 제공하는 시스템의 문제가 아니며
사용자 이름과 아이디가 유출되고 (트위터를 통해, 흔히 있는) 흔한 비번과 흔한 보안질답으로 표적공격당해 사건이 발생했다라는건데

보안질답 시스템의 허술함과 비밀번호 복잡성을 요구하지 않은것(예전 애플의 비밀번호는 그렇게 어려운 조건을 요구하지않았죠) 타인의 로그인 시도와 비밀번호 획득시도를 감지하지 못한것(사용자에게 메일은 보냈다고 합니다. 하지만 x회이상 로그인이 안되면 더 추가질문을 하는 식의 방식은 없었다는거죠) 은 책임이 없다고 할수가 없어보입니다.




사람들이 자주쓰는 패스워드 사전으로 계속적인 시도를 통해 상대의 정보를 알아내는 브루트포스 공격에 취약하다는 사실은 이미 부정할수가 없네요

실제로 findiphone 페이지가 브루트포스에 손쉽게 뚫렸고, 적어도 이틀 이상 그 상태로 방치되어 있었다는 건은 명백한 사실이니까요.

http://www.clien.net/cs2/bbs/board.php?bo_table=news&wr_id=1862379&page=2



뭐 굳이 한줄로 하자면 '애플은 잘못없음. 비밀번호 쉽게 설정한 고객 과실' 이네요.



그나저나 다른 사람들은 다 제쳐두고 [50명의 유명연예인]만 하필 비밀번호 쉽게 설정해서 털렸다니 ...