Tietoturva nyt!

7.7.2010

Apple iTunes-tunnuksia vääriin käsiin

Muutamia satoja käyttäjiä koskevassa tapauksessa varastetuilla Apple iTunes-tunnuksilla on ostettu sekä musiikkia että Applen App Storessa olevia sovelluksia.

Julkisuudessa olleiden tietojen mukaan Applen iTunes-sovelluksen käyttäjätunnuksia on varastettu ja väärinkäytetty. Varastetuilla tunnuksilla on ostettu sekä musiikkia että Applen App Storessa olevia sovelluksia. Sovellusten ostotapahtumat ovat kohdistuneet eräiden sovelluskehittäjien sovelluksiin ilmeisesti tarkoituksena tuottaa kyseisille kehittäjälle rahaa sekä samalla nostaa kehittäjien sovellusten suosiota. Uhreja arvioidaan olevan joitakin satoja.

Tässä vaiheessa ei ole tiedossa, miten iTunes-salasanat on saatu selville. Mikäli käyttäjätunnuksiin liittyviä salasanoja on käytetty myös muissa verkkopalveluissa on urkinta tai salasanavuoto voinut tapahtua näissä palveluissa. On myös mahdollista, että salasanat ovat varastettu tietoja varastavan haittaohjelman avulla tai ne ovat olleet helposti arvattavia.

Saman salasanan käyttämistä eri palveluissa tulisi välttää ja varautua siihen, että minkä tahansa palvelun salasana voidaan murtaa tai se voi muulla tavoin joutua vääriin käsiin. Luottokorttinumeroa ei pitäisi tallentaa verkkopalveluihin, jos mahdollista, vaan syöttää se joka kerta erikseen ostotapahtuman yhteydessä. CERT-FI haluaa lisäksi muistuttaa vahvojen salasanojen tärkeydestä.

Apple ei ole kommentoinut tapahtunutta. CERT-FI:n tietoon ei ole tullut, että suomalaisten käyttäjien iTunes-käyttäjätunnuksia oli käytetty hyväksi tapauksen yhteydessä.