趁這標題講一下這次的問題
根據
http://www.engadget.com/2014/09/01/find-my-iphone-exploit/
跟有人流出來的 POC sample
https://github.com/hackappcom/ibrute
加上這個 POC 流出時間點跟照片流出時間點相當接近（隔天），
而且蘋果的確緊急修復了這個漏洞，我覺得是蠻有嫌疑的。
目前這個可能的猜測之一（強調），
是 findmyiphone 有個 initClient 的 request ，
https://fmipmobile.icloud.com/fmipservice/device/<apple_id>/initClient
因為有吃帳號密碼可以用來取得裝置資料，
所以就能用來測視帳號密碼。
照理說一般的帳號密碼因為怕被踹，所以三次或一定次數以上就會鎖帳號，
但這個 request 沒有作鎖帳號來防踹帳號的測試。
所以就造成 cracker (黑客) 可以自由的測試帳號密碼，
這個一般會用俗稱字典檔的常見密碼集跟基本密碼組合來測試。
至於帳號怎麼取得就是各憑本事了。
當然，除了這個說法以外也有人說可能有其他弱點、之前就流出，
只是借這個弱點一起流出而已，無論如何這是目前國外的討論方向之一。
在這個弱點的前提底下，加強密碼的強度是很重要的，
英文、數字、符號混雜，英文夾雜大小寫，密碼盡量不要太傻瓜，
不要多網站共用同一組密碼（怕萬一一個網站是惡意或被破就整組掰光），
都是保護自己帳號的基本常識。

要被鎖了 塊陶阿

專業尻尻推

沒事把重要資料存在雲端硬碟本來就有問題

帳號就是email 很多人都公開 不難取得

之前就在想為何一堆正妹會蠢到把自己裸照上傳網路相簿?

我的密碼是******

其實像很多有做會員系統的網站，都沒有對帳號驗證這件事情做一些防範，例如設定一個登入上限就deny掉導致很多人的帳號密碼沒事就被try出來

其實其他的服務都有3次上限阿 這個不知道為什麼沒作

漏掉吧 或者有別的設計用意

只要駭入ctos就好了 傻傻的

只是因為要發大量的request，破解速度其實不快或許還有一些漏洞存在，不單單只有暴力破解因為這樣的異常應該是可以被監控到的可是你想喔，find my iphone這個功能上線很久了

現在覺得有策略考量 一部新電影有類似劇情，而照片感覺有特別挑過 賣什麼關子到覺得很感興趣

每個月都應該有一定的量的request這駭客在一個月前進行的攻擊，這應該是能夠被監視到的

為什麼要加強 這樣我以後哪來裸照看

除非蘋果並沒有針對驗證服務做log monitoring可能規則沒設定到吧lol

沒對連線做monitor就該打三十大板了

不過伺服器規模屬於超大型的 很難說剛好低空飛過監控規則那麼alert不會叫也是很正常的事了

也有可能是規則訂得太細，為了避免誤判而導致漏判這在log量較大的入口網站和ISP的log監控分析中常發生...XD

爲什麼我留言都看不懂