היזהרו מחיקויים: האקר צ'כי העונה לשם יאן סוצק גילה בחודשים האחרונים פרצת אבטחה שאולי נראית פשוטה למדי, אך למעשה מדובר בחלומו של כל האקר העושה שימוש במה שנקרא 'הנדסה חברתית'. במהלך ההתקפה גורם ההאקר לקרבן למסור בעצמו את שם המשתמש והססמה שלעתים קרובות כמעט ואינם ניתנים לפריצה.
סוצ'ק גילה כי ניתן לשלוח למשתמשים תכתובת דואר אלקטרוני המתחזה למנגנון הכניסה לחשבון ה-iCloud, כשבעקבות פרצת אבטחה השולח יכול לשנות את תוכן ההודעה לאחר שהיא נשלחה באמצעות שימוש בקוד HTML השואב נתונים מאתרים של התוקפים.
הבאג שגילה החוקר הצ'כי באפליקציית הדואר האלקטרוני המשמשת כברירת מחדל במכשירי האייפון והאייפד, מאפשרת את עקיפת מנגנון האבטחה הבסיסי שלא מצליח לסנן כראוי את הקוד הזדוני. החוקר אף העלה לאינטרנט את הקודים הדרושים על מנת להוציא מתקפה כזו לפועל.
מבחינת המשתמש, כשהמייל ייפתח הדבר יוביל באופן אוטומטי לפתיחת תיבה הנראית בדיוק כמו תיבת הכניסה לחשבון iCloud באייפון. במידה והמשתמש יכניס את שם המשתמש והסיסמה ויבחר ללחוץ על אישור, התוקף יקבל באופן מיידי את הפרטים.
על מנת להימנע מנפילת קרבן להונאה זו על המשתמש לוודא כי התיבה אכן אמתית ולא מדובר במנגנון האימות המזויף. מדובר במשימה קשה מכיוון שתיבת הכניסה לחשבון ה-iCloud קופצת במכשירי האייפון לעתים קרובות למדי.
על פי הדיווחים, סוצ'ק הודיע לחברת אפל על הפרצה שגילה כבר לפני כחצי שנה, זמן קצר לאחר ששחררה החברה את עדכון ה-iOS 8.3. למרות זאת, עד היום החברה טרם טיפלה בבאג החמור.