Usterka w usłudze Find My iPhone firmy Apple mogła być przyczyną ataku, który doprowadził do złamania zabezpieczeń kont iCloud setek celebrytów.
jak zablokować wiersz w arkuszach google
Skrypt weryfikacyjny w języku Python opracowany przez HackApp za brutalne wymuszanie iCloud krążył online przez kilka dni, zanim nagie zdjęcia 17 znanych kobiet, w tymIgrzyska śmierciaktorka Jennifer Lawrence iScott Pilgrimgłówna aktorka Mary E Winstead pojawiła się w Internecie – najwyraźniej skradziona z ich kont iCloud.
Haker twierdził, że ma w sumie zdjęcia ponad 100 celebrytek.
Kod najwyraźniej pozwala atakującym wielokrotnie odgadywać hasła za pomocą funkcji Znajdź mój iPhone bez powodowania blokady lub ostrzegania celu.
Po odkryciu hasła atakujący mógł go użyć do uzyskania dostępu do innych obszarów iCloud.
Apple od tego czasu załatało dziurę, chociaż są roszczenia zgłaszane na Reddicie że łatka jest aktywna tylko w niektórych regionach.
Badacz bezpieczeństwa Graham Cluley twierdzi jednak, że trudno uwierzyć, że można by to z powodzeniem wykorzystać przeciwko dużej liczbie kont bez wykrycia w krótkim czasie.
Inną opcją zaproponowaną przez Cluleya i innych badaczy jest to, że ofiary ataku miały albo łatwe do odgadnięcia hasło, albo odpowiedzi dotyczące resetowania hasła.
Wiele witryn oferuje opcję „zapomniałeś hasła” lub prosi o przejście przez kółka, odpowiadając na „tajne pytania”, aby potwierdzić swoją tożsamość, powiedział Cluley.
Dodał, że w przypadku celebrytów szczególnie łatwe może być określenie imienia pierwszego zwierzaka lub nazwiska panieńskiego matki za pomocą prostej wyszukiwarki Google.
Rik Ferguson, badacz bezpieczeństwa w Trend Micro, również powiedział złamanie na szeroką skalę Apple iCloud jest mało prawdopodobne, wskazując, że nawet oryginalny plakat nie twierdził, że tak było.
Podobnie jak Cluley, zasugerował, że atakujący mógł użyć linku „Nie pamiętam hasła”, jeśli już znał i miał dostęp do adresów e-mail, których ofiary używały w usłudze iCloud. Zasugerował również, że wspomniane celebrytki mogły paść ofiarą ataku phishingowego.
Reakcja Twittera i groźby prawne
Chociaż zdjęcia początkowo wyciekły na 4chan, nie trwało długo, zanim zdjęcia Jennifer Lawrence zaczęły pojawiać się na Twitterze.
W ciągu około dwóch godzin Twitter zaczął zawieszać wszystkie konta, które publikowały którekolwiek ze skradzionych zdjęć, ale zgodnie z harmonogramem odLustro , sieć społecznościowa grała w grę w whack-a-mole, a nowe zdjęcia nadal pojawiały się przez ponad godzinę po tym, jak zaczęły działać.
Mary E Winstead sama zabrała się do Twittera, aby zadzwonić zarówno do osoby, która opublikowała zdjęcia, jak i do tych, którzy je oglądali.
Windows 10 automatycznie rozmieszcza ikony
Ci z Was, którzy oglądają zdjęcia, które zrobiłam z mężem lata temu w zaciszu naszego domu, życzę Wam, że poczujecie się dobrze.
— Mary E. Winstead (@M_E_Winstead) 31 sierpnia 2014
Jednak w końcu musiała wycofać się z platformy, aby uciec od obraźliwych wiadomości, które otrzymywała
Wybieram się na przerwę w Internecie. Zapraszam do moich @, aby zobaczyć, jak to jest być kobietą, która mówi o wszystkim na Twitterze
— Mary E. Winstead (@M_E_Winstead) 1 września 2014
Rzecznik Jennifer Lawrence powiedział już, że będzie podejmował kroki prawne przeciwko każdemu, kto rozpowszechnia zdjęcia.
To rażące naruszenie prywatności. Skontaktowano się z władzami, które będą ścigać każdego, kto opublikuje skradzione zdjęcia Jennifer Lawrence, powiedzieli.
W 2011 r. podjęto podobne działania, gdy e-maile 50 celebrytów, w tym Scarlett Johansson i Christina Aguilera, zostały zhakowane, a nagie zdjęcia zostały skradzione i publicznie rozpowszechnione.
W wyniku dochodzenia FBI sprawca, Christopher Chaney z Jacksonville na Florydzie, został skazany na dziesięć lat więzienia.
Środki zaradcze bezpieczeństwa
jak kopać boty w csgo
Podczas gdy nie-celebryci są mniej skłonni do rozpowszechniania swoich nagich zdjęć tak szeroko, jak zdjęcia sławnych osób, może to i nadal się zdarza.
Specjaliści ds. Bezpieczeństwa twierdzą, że ten incydent powinien przypominać o znaczeniu posiadania skutecznych środków bezpieczeństwa dla każdej usługi online i zachęcać użytkowników do zwracania uwagi na to, co jest przesyłane do chmury.
Ponieważ dzisiejsze urządzenia bardzo chętnie przesyłają dane do własnych usług w chmurze, ludzie powinni uważać, aby wrażliwe nośniki nie były automatycznie przesyłane do sieci lub innych sparowanych urządzeń, powiedział Chris Boyd, analityk złośliwego oprogramowania w Malwarebytes.PC Pro.
Ferguson zasugerował, że możliwe jest, że osoby, które padły ofiarą ataku, zapomniały lub nie zdawały sobie sprawy, że Apple automatycznie synchronizuje zdjęcia z iPhone'a lub iPada Photo Stream użytkownika z ich iCloud.
W tym przypadku wydaje się, że część ofiar mogła uwierzyć, że wystarczy usunąć zdjęcia z ich telefonów – powiedział.
Zarówno Boyd, jak i Ferguson zalecają sprawdzenie, czy i jak wykonywane są kopie zapasowe lub kopie w tle danych przechowywanych w usłudze w chmurze oraz jak można nimi zarządzać.
Stefano Ortolani, badacz bezpieczeństwa z Kaspersky Lab, zasugerował również, że użytkownicy powinni wybrać, które dane są przechowywane w chmurze, i wyłączyć automatyczną synchronizację.
Można również argumentować, że smartfony, które są stale połączone z Internetem, nie są najlepszym miejscem do robienia nagich zdjęć, powiedział Boyd – co powtarzają Cluley i Ferguson.
PC Proskontaktował się z Apple, aby zapytać, czy firma wiedziała o zakrojonym na szeroką skalę włamaniu do jej usługi iCloud, ale nie otrzymała odpowiedzi w momencie publikacji.