Een fout in de Find My iPhone-service van Apple zou achter een aanval kunnen zitten die ertoe leidde dat de iCloud-accounts van honderden beroemdheden werden gecompromitteerd.
exporteer alle snapchat-herinneringen naar filmrol
Een proof-of-concept Python-script ontwikkeld door HackApp voor brute forcering circuleerde iCloud al enkele dagen online voordat naaktfoto's van 17 beroemde vrouwen, waaronder:Hongerspelenactrice Jennifer Lawrence enScott Pilgrimhoofdrolspeelster Mary E Winstead verscheen online – blijkbaar gestolen van hun iCloud-accounts.
De hacker beweerde foto's te hebben van in totaal meer dan 100 vrouwelijke beroemdheden.
De code laat aanvallers blijkbaar herhaaldelijk wachtwoorden raden via Zoek mijn iPhone zonder een vergrendeling te activeren of het doelwit te waarschuwen.
Zodra het wachtwoord was ontdekt, kon de aanvaller het gebruiken om toegang te krijgen tot andere delen van iCloud.
Apple heeft sindsdien het gat gedicht, hoewel er zijn claims worden gemaakt op Reddit dat de patch alleen in bepaalde regio's actief is.
Beveiligingsonderzoeker Graham Cluley heeft echter beweerd dat het moeilijk te geloven is dat dit in korte tijd zonder detectie met succes tegen een groot aantal accounts had kunnen worden gebruikt.
Een andere optie die door Cluley en andere onderzoekers naar voren is gebracht, is dat de slachtoffers van de aanval ofwel een gemakkelijk te raden wachtwoord hadden ofwel antwoorden op het opnieuw instellen van het wachtwoord.
Veel sites geven je de optie 'wachtwoord vergeten', of vragen je om door hoepels te springen door 'geheime vragen' te beantwoorden om je identiteit te bewijzen, zei Cluley.
In het geval van een beroemdheid kan het echter bijzonder gemakkelijk zijn om de naam van hun eerste huisdier of de meisjesnaam van hun moeder te bepalen met een eenvoudige Google-zoekopdracht, voegde hij eraan toe.
Rik Ferguson, beveiligingsonderzoeker bij Trend Micro, zei ook: een grootschalige 'hack' van Apple's iCloud is onwaarschijnlijk, erop wijzend dat zelfs de originele poster niet had beweerd dat dit het geval was.
Hij suggereerde, net als Cluley, dat de aanvaller mogelijk de link Ik ben mijn wachtwoord vergeten had gebruikt als ze al wisten en toegang hadden tot de e-mailadressen die de slachtoffers voor iCloud gebruikten. Hij suggereerde ook dat de beroemdheden in kwestie mogelijk het slachtoffer zijn geworden van een phishing-aanval.
Twitter-reactie en juridische bedreigingen
Hoewel de foto's aanvankelijk gelekt waren op 4chan, duurde het niet lang voordat vooral de foto's van Jennifer Lawrence op Twitter verschenen.
Binnen ongeveer twee uur was Twitter begonnen met het opschorten van alle accounts die een van de gestolen foto's hadden gepubliceerd, maar volgens een tijdlijn vande spiegel , speelde het sociale netwerk een spelletje whack-a-mole, met nieuwe foto's die meer dan een uur nadat het begon te werken, bleven verschijnen.
Mary E Winstead ging zelf naar Twitter om zowel de persoon die de foto's publiceerde als degenen die ernaar keken te bellen.
Aan degenen onder jullie die naar foto's kijken die ik jaren geleden met mijn man heb gemaakt in de privacy van ons huis, ik hoop dat je je goed voelt over jezelf.
— Mary E. Winstead (@M_E_Winstead) 31 augustus 2014
Ze moest zich uiteindelijk echter terugtrekken van het platform om weg te komen van de beledigende berichten die ze ontving
Op internet pauze. Voel je vrij om naar mijn @'s te gaan voor een glimp van hoe het is om een vrouw te zijn die zich uitspreekt over alles op twitter
— Mary E. Winstead (@M_E_Winstead) 1 september 2014
sprint hoe blokkeer je een nummer om te bellen
De woordvoerder van Jennifer Lawrence heeft al gezegd dat ze juridische stappen zullen ondernemen tegen iedereen die de foto's verspreidt.
Dit is een flagrante schending van de privacy. De autoriteiten zijn gecontacteerd en zullen iedereen die de gestolen foto's van Jennifer Lawrence plaatst, vervolgen, zeiden ze.
In 2011 werd een soortgelijke actie ondernomen toen de e-mails van 50 beroemdheden, waaronder Scarlett Johansson en Christina Aguilera, werden gehackt en naaktfoto's werden gestolen en publiekelijk verspreid.
Na een FBI-onderzoek werd de dader, Christopher Chaney uit Jacksonville, Florida, veroordeeld tot tien jaar gevangenisstraf.
Beveiliging tegenmaatregelen
hoe maak je rollen in onenigheid
Hoewel het minder waarschijnlijk is dat niet-beroemdheden hun naaktfoto's zo wijd verspreid hebben als die van een beroemd persoon, kan en gebeurt het nog steeds.
Beveiligingsspecialisten hebben gezegd dat dit incident moet dienen als een herinnering aan het belang van effectieve beveiligingsmaatregelen voor elke online service en gebruikers moet aanmoedigen om zich bewust te zijn van wat er naar de cloud wordt geüpload.
Nu de apparaten van tegenwoordig erg graag gegevens naar hun eigen respectievelijke cloudservices pushen, moeten mensen oppassen dat gevoelige media niet automatisch worden geüpload naar internet of andere gekoppelde apparaten, vertelde Chris Boyd, malware-intelligentie-analist bij Malwarebytes.PC Pro.
Ferguson suggereerde dat het mogelijk was dat de mensen die het slachtoffer waren geworden van de aanval waren vergeten of niet wisten dat Apple foto's op de iPhone of iPad Photo Stream van een gebruiker automatisch synchroniseert met hun iCloud.
In dit geval lijkt het erop dat sommige slachtoffers hebben geloofd dat het verwijderen van de foto's van hun telefoons voldoende was, zei hij.
Zowel Boyd als Ferguson raden aan om uit te zoeken of en hoe back-ups of schaduwkopieën van gegevens die zijn opgeslagen in een cloudservice worden gemaakt en hoe deze kunnen worden beheerd.
Stefano Ortolani, beveiligingsonderzoeker bij Kaspersky Lab, stelde ook voor dat gebruikers zelf moeten kiezen welke gegevens in de cloud worden opgeslagen en automatische synchronisatie moeten uitschakelen.
Je zou ook kunnen stellen dat smartphones, die voortdurend verbonden zijn met internet, niet de beste plek zijn voor naaktfoto's, zei Boyd, een sentiment dat werd herhaald door Cluley en Ferguson.
PC Procontact opgenomen met Apple om te vragen of het bedrijf op de hoogte was van een grootschalige hack van zijn iCloud-service, maar op het moment van publicatie nog geen reactie had ontvangen.