趁这标题讲一下这次的问题
根据
http://www.engadget.com/2014/09/01/find-my-iphone-exploit/
跟有人流出来的 POC sample
https://github.com/hackappcom/ibrute
加上这个 POC 流出时间点跟照片流出时间点相当接近（隔天），
而且苹果的确紧急修复了这个漏洞，我觉得是蛮有嫌疑的。
目前这个可能的猜测之一（强调），
是 findmyiphone 有个 initClient 的 request ，
https://fmipmobile.icloud.com/fmipservice/device/<apple_id>/initClient
因为有吃帐号密码可以用来取得装置资料，
所以就能用来测视帐号密码。
照理说一般的帐号密码因为怕被踹，所以三次或一定次数以上就会锁帐号，
但这个 request 没有作锁帐号来防踹帐号的测试。
所以就造成 cracker (黑客) 可以自由的测试帐号密码，
这个一般会用俗称字典档的常见密码集跟基本密码组合来测试。
至于帐号怎么取得就是各凭本事了。
当然，除了这个说法以外也有人说可能有其他弱点、之前就流出，
只是借这个弱点一起流出而已，无论如何这是目前国外的讨论方向之一。
在这个弱点的前提底下，加强密码的强度是很重要的，
英文、数字、符号混杂，英文夹杂大小写，密码尽量不要太傻瓜，
不要多网站共用同一组密码（怕万一一个网站是恶意或被破就整组掰光），
都是保护自己帐号的基本常识。

要被锁了 块陶阿

专业尻尻推

没事把重要资料存在云端硬盘本来就有问题

帐号就是email 很多人都公开 不难取得

之前就在想为何一堆正妹会蠢到把自己裸照上传网络相簿?

我的密码是******

其实像很多有做会员系统的网站，都没有对帐号验证这件事情做一些防范，例如设定一个登入上限就deny掉导致很多人的帐号密码没事就被try出来

其实其他的服务都有3次上限阿 这个不知道为什么没作

漏掉吧 或者有别的设计用意

只要骇入ctos就好了 傻傻的

只是因为要发大量的request，破解速度其实不快或许还有一些漏洞存在，不单单只有暴力破解因为这样的异常应该是可以被监控到的可是你想喔，find my iphone这个功能上线很久了

现在觉得有策略考量 一部新电影有类似剧情，而照片感觉有特别挑过 卖什么关子到觉得很感兴趣

每个月都应该有一定的量的request这骇客在一个月前进行的攻击，这应该是能够被监视到的

为什么要加强 这样我以后哪来裸照看

除非苹果并没有针对验证服务做log monitoring可能规则没设定到吧lol

没对连线做monitor就该打三十大板了

不过服务器规模属于超大型的 很难说刚好低空飞过监控规则那么alert不会叫也是很正常的事了

也有可能是规则订得太细，为了避免误判而导致漏判这在log量较大的入口网站和ISP的log监控分析中常发生...XD

为什么我留言都看不懂