Đầu tháng 9/2014, ngay trước khi Apple ra mắt iPhone 6 và phiên bản mới của hệ điều hành iOS, công ty của Tim Cook đã bị chao đảo bởi một scandal nghiêm trọng – ảnh nhạy cảm của rất nhiều ngôi sao giải trí hàng đầu đã bị lấy trộm trực tiếp từ tài khoản iCloud của các nạn nhân và tung lên mạng.
Kẻ tấn công không bẻ khóa iTunes mà dùng các phương thức khác để lấy trộm email/mật khẩu và truy cập vào tài khoản của nạn nhân - một dạng tấn công có thể được phòng tránh thông qua Xác thực 2 yếu tố (2FA).
Lo ngại về ảnh hưởng của scandal này, Apple liên tục đưa ra lời giải thích cho người dùng về chính sách bảo mật và riêng tư của công ty cho người dùng trong hàng tuần sau đó.
Công ty của Tim Cook cam kết với khách hàng dữ liệu của của họ sẽ được bảo vệ an toàn khỏi các tin tặc cũng như các chương trình gián điệp, đồng thời khuyến khích người dùng sử dụng chế độ xác thực 2 yếu tố đã được cải tiến.
Tuy nhiên, đến nay dù Apple vẫn cảnh báo người dùng khi sử dụng Apple ID trên các thiết bị lạ, cách thực hiện của Apple vẫn chưa đủ an toàn để bảo vệ dữ liệu cá nhân của khách hàng một cách toàn diện.
Theo cây viết Dani Grant của trang Medium.com, dù chế độ xác thực 2 yếu tố có an toàn đến mấy đi chăng nữa, Apple vẫn đang không áp dụng chế độ này lên toàn bộ các thành phần của tài khoản Apple ID.
Cụ thể hơn, miễn là một ai đó có quyền truy cập vào tài khoản Apple ID của bạn (sử dụng địa chỉ email và mật khẩu chính xác), người đó sẽ luôn truy cập được vào các thông tin của bạn trên iMessage, FaceTime hay trang web Apple.com.
Hệ thống của Apple không phải lúc nào cũng sẽ gửi đi các tin nhắn/email cảnh báo về các hoạt động truy cập bất thường này. Tồi tệ hơn, việc đăng nhập vào các dịch vụ này là hoàn toàn có thể thực hiện được trên tài khoản đã kích hoạt chế độ xác thực 2 yếu tố: các dịch vụ của Apple không hề đưa ra yêu cầu nhập mã xác thực thứ 2.
Dani Grant đã đăng nhập thành công vào iMessage, FaceTime, iTunes, App Store và Apple.com mà không bị yêu cầu mã xác thực 2 yếu tố. Chỉ riêng FaceTime được mặc định áp dụng tính năng này trên hệ thống của Apple.
Nếu có thể dễ dàng truy cập vào các dịch vụ này, kẻ xấu có thể xem được chi tiết các tin nhắn iMessage và lịch sử FaceTime, truy cập vào các dữ liệu cá nhân lưu trữ trên iTunes và xem toàn bộ lịch sử mua bán ứng dụng. Các thông tin này có thể bao gồm cả những dữ liệu nhạy cảm mà bạn không muốn công khai.
Nói cách khác, chỉ cần một bên thứ ba lấy được thông tin Apple ID của bạn, đối tượng này hoàn toàn có thể lấy được các dữ liệu cá nhân nhạy cảm mà bạn lưu trữ trên các dịch vụ của Apple.
Trong khi 2FA trên Apple ID vẫn có thể bảo vệ tài khoản khỏi các trường hợp nguy hiểm hơn (ví dụ như thay đổi mật khẩu, truy cập vào iCloud hoặc thực hiện mua ứng dụng/nội dung iTunes), rõ ràng công ty của Tim Cook vẫn không thể giải quyết triệt để các vấn đề bảo mật căn bản cho các dịch vụ dữ liệu của mình.