Propust u Appleovoj usluzi Find My iPhone mogao je stajati iza napada koji je doveo do ugrožavanja stotina iCloud računa poznatih osoba.
kako promijeniti zadani račun na googleu
Probna koncepcija Python skripte koju je razvio HackApp za grubo forsiranje iCloud je nekoliko dana kružio mrežom prije golišavih fotografija 17 poznatih žena, uključujućiIgre gladiglumica Jennifer Lawrence iScott Pilgrimglavna glumica Mary E Winstead pojavila se na mreži - očito ukradena s njihovih iCloud računa.
Haker je tvrdio da ukupno ima slike preko 100 ženskih zvijezda.
Kôd očito omogućuje napadačima da više puta pogađaju lozinke putem značajke Find My iPhone bez pokretanja blokade ili upozorenja na cilj.
Nakon što je lozinka otkrivena, napadač ju je mogao koristiti za pristup drugim područjima iClouda.
Apple je otad zakrpao rupu, iako ih ima potraživanja na Redditu da je flaster aktivan samo u određenim regijama.
Međutim, istraživač sigurnosti Graham Cluley tvrdio je da je teško povjerovati da se to moglo uspješno upotrijebiti protiv velikog broja računa bez otkrivanja u kratkom vremenu.
Druga mogućnost koju su iznijeli Cluley i drugi istraživači jest da su žrtve napada imale lozinku koja se lako pogađa ili odgovore na poništavanje lozinke.
Mnoge web stranice daju vam opciju 'zaboravili ste lozinku' ili traže preskakanje obruča odgovaranjem na 'tajna pitanja' kako biste dokazali svoj identitet, rekao je Cluley.
Međutim, u slučaju slavne osobe, možda će biti lako odrediti ime njihovog prvog ljubimca ili djevojačko prezime njihove majke jednostavnim Google pretraživanjem, dodao je.
Rik Ferguson, istraživač sigurnosti iz tvrtke Trend Micro, također rekao široko razmjerno 'hakiranje' Appleovog iClouda nije vjerojatno, ističući da čak ni izvorni poster nije tvrdio da je to slučaj.
Poput Cluleyja, sugerirao je da je napadač možda koristio vezu Zaboravio sam lozinku ako su već znali i imali pristup adresama e-pošte koje su žrtve koristile za iCloud. Također je sugerirao da su dotične slavne osobe možda postale žrtvama phishing napada.
Twitter reakcija i pravne prijetnje
Iako su fotografije isprva procurile na 4chan, nije trebalo dugo da se slike Jennifer Lawrence počnu pojavljivati na Twitteru.
U roku od otprilike dva sata Twitter je počeo obustavljati sve račune koji su objavili bilo koju od ukradenih fotografija, ali prema vremenskoj crti izOgledalo , društvena mreža igrala je igru lupine, a nove slike nastavile su se pojavljivati i više od sat vremena nakon što je počela djelovati.
Mary E Winstead sama se oglasila na Twitteru kako bi prozvala i osobu koja je objavila slike i one koji su ih gledali.
Oni koji gledaju fotografije koje sam prije više godina snimio sa suprugom u privatnosti našeg doma, nadam se da se osjećate sjajno.
- Mary E. Winstead (@M_E_Winstead) 31. kolovoza 2014
Međutim, na kraju se morala povući s platforme kako bi se maknula od uvredljivih poruka koje je dobivala
Odlazak na internetsku pauzu. Slobodno za moju @ potražite kako je to biti žena koja govori o bilo čemu na twitteru
- Mary E. Winstead (@M_E_Winstead) 1. rujna 2014
internetske trgovine koje prihvaćaju plaćanje jabuka
Glasnogovornik Jennifer Lawrence već je rekao da će voditi pravnu akciju protiv bilo koga tko distribuira fotografije.
Ovo je flagrantno kršenje privatnosti. Vlasti su kontaktirane i gonit će svakoga tko objavi ukradene fotografije Jennifer Lawrence, rekli su.
U 2011. godini poduzeta je slična akcija kada su e-mailovi 50 poznatih osoba, uključujući Scarlett Johansson i Christinu Aguileru, hakirani, a gole fotografije ukradene i javno distribuirane.
Nakon istrage FBI-a, počinitelj Christopher Chaney iz Jacksonvillea na Floridi osuđen je na deset godina zatvora.
Sigurnosne protumjere
kako podići ruku za zumiranje
Iako je manje vjerojatno da će osobe koje nisu poznate imati svoje golišave fotografije distribuirane toliko široko kao fotografije poznate osobe, to se može i događa još uvijek.
Stručnjaci za sigurnost rekli su da bi ovaj incident trebao poslužiti kao podsjetnik na važnost postojanja učinkovitih sigurnosnih mjera za bilo koju internetsku uslugu i poticati korisnike da paze na ono što je preneseno u oblak.
Budući da današnji uređaji itekako žele preusmjeriti podatke na vlastite oblačne usluge, ljudi bi trebali biti oprezni da se osjetljivi mediji automatski ne prenose na web ili druge uparene uređaje, rekao je Chris Boyd, analitičar malware inteligence u tvrtki Malwarebytes.PC Pro.
Ferguson je sugerirao da je moguće da su ljudi koji su postali žrtvama napada zaboravili ili nisu shvatili da Apple automatski sinkronizira fotografije u korisnikovom iPhoneu ili iPadu Photo Stream na svoj iCloud.
U ovom se slučaju čini da su neke od žrtava mogle vjerovati da je brisanje fotografija s njihovih telefona bilo dovoljno, rekao je.
I Boyd i Ferguson preporučuju da se saznaju uzimaju li se i kako sigurnosne kopije ili sjene kopije podataka pohranjenih u usluzi u oblaku i kako se njima može upravljati.
Stefano Ortolani, istraživač sigurnosti iz Kaspersky Laba, također je predložio da korisnici trebaju odabrati koji se podaci pohranjuju u oblaku i onemogućiti automatsku sinkronizaciju.
Također biste mogli tvrditi da pametni telefoni, koji su neprestano povezani s internetom, nisu najbolje mjesto za gole slike, rekao je Boyd - sentiment koji su ponovili Cluley i Ferguson.
PC Prokontaktirao je Apple kako bi pitao je li tvrtka svjesna širokog hakiranja svoje usluge iCloud, ali u vrijeme objave nije dobila odgovor.