Apple'i teenuse Find My iPhone viga võis olla rünnaku taga, mis viis sadade kuulsuste iCloudi kontode ohtu seadmiseni.
kuidas ma tean, milline jäär mul on
Kontseptsiooni tõestav Pythoni skript, mille on välja töötanud HackApp jõhkra sundimise eest oli iCloud mitu päeva võrgus levinud, enne kui 17 tuntud naise aktifotod, sealhulgasNäljamängudnäitleja Jennifer Lawrence jaScott Pilgrimpeaosatäitja Mary E Winstead ilmus võrgus - ilmselt varastati nende iCloudi kontodelt.
Häkker väitis, et tal on pilte üle 100 naiskuulsusest.
Ilmselt laseb kood ründajatel parooli arvata teenuse Find My iPhone kaudu korduvalt ära, käivitamata lukustust ega hoiatades sihtmärki.
Kui parool oli avastatud, sai ründaja seda kasutada iCloudi teistesse piirkondadesse pääsemiseks.
Apple on pärast seda auku lappinud, kuigi neid on Redditile esitatavad nõuded et plaaster on aktiivne ainult teatud piirkondades.
Turvauurija Graham Cluley on aga väitnud, et on raske uskuda, et seda oleks võinud lühikese aja jooksul ilma avastamata edukalt kasutada paljude kontode vastu.
Teine Cluley ja teiste teadlaste välja pakutud võimalus on see, et rünnaku ohvritel olid kas lihtsalt ära arvatav parool või parooli lähtestamise vastused.
Paljud saidid pakuvad teile valikut „unustasite parooli” või paluvad teil oma identiteedi tõestamiseks hüpata läbi „salajastele küsimustele” vastates, ütles Cluley.
Kuulsuste puhul võib aga lihtsa Google'i otsingu abil olla eriti lihtne kindlaks teha nende esimese lemmiklooma nimi või ema neiupõlvenimi, lisas ta.
Trend Micro turvateadlane Rik Ferguson, ütles ka Apple'i iCloudi ulatuslik häkkimine on ebatõenäoline, viidates sellele, et isegi originaalpostitaja polnud seda väitnud.
Ta, nagu Cluley, soovitas ründajal kasutada linki Ma unustasin oma parooli, kui nad juba teadsid ja neil oli juurdepääs e-posti aadressidele, mida ohvrid iCloudi jaoks kasutasid. Samuti pakkus ta välja, et kõnealused kuulsused võisid sattuda andmepüügi rünnaku ohvriks.
Twitteri reaktsioon ja juriidilised ohud
Kuigi fotod lekitati algselt 4chanil, ei läinud kaua aega, enne kui eriti Jennifer Lawrence'i pildid hakkasid Twitteris ilmuma.
Umbes kahe tunni jooksul oli Twitter hakanud peatama kõiki varastatud fotosid avaldanud kontosid, kuid ajaskaala järgi alatesPeegel , sotsiaalvõrgustik mängis möllamist, kusjuures uute piltide ilmumine jätkus tunduvalt pärast selle tegutsemist.
Mary E Winstead käis Twitteris ise, et välja kutsuda nii pilte avaldanud inimene kui ka neid, kes neid vaatasid.
Neile teist, kes vaatavad aastaid tagasi koos abikaasaga meie kodu privaatsuses tehtud fotosid, loodetavasti tunnete end iseendast suurepäraselt.
- Mary E. Winstead (@M_E_Winstead) 31. august 2014
Kuid lõpuks pidi ta platvormilt tagasi tõmbuma, et pääseda vastuvõetud kuritahtlikest sõnumitest
Internetipausile minek. Julgelt saate minu @ -dele pilgu heita, mis tunne on olla naine, kes räägib kõigest twitteris
- Mary E. Winstead (@M_E_Winstead) 1. september 2014
kuidas sünkroonida mitu Google Drive'i kontot
Jennifer Lawrence'i pressiesindaja on juba öelnud, et nad võtavad kõigi fotosid levitavate isikute vastu kohtusse.
See on räige privaatsuse rikkumine. Ametivõimudega on ühendust võetud ja nad võtavad kohtu alla kõik, kes postitavad Jennifer Lawrence'i varastatud fotod, ütlesid nad.
2011. aastal võeti samalaadne tegevus, kui häkkiti 50 kuulsuse, sealhulgas Scarlett Johanssoni ja Christina Aguilera e-kirjad, varastati alasti fotosid ja levitati neid avalikult.
Pärast FBI uurimist mõisteti kurjategija, Florida osariigi Jacksonville'ist pärit Christopher Chaney kümneks aastaks vangi.
Turvalisuse vastumeetmed
kuidas luua rolle ebakõlas
Kuigi mitte-kuulsuste hulgas levitatakse vähem oma alastifotosid üsna nii laialdaselt kui kuulsa inimese omi, võib seda juhtuda ja juhtub ikka.
Turvaspetsialistide sõnul peaks see vahejuhtum meenutama tõhusate turvameetmete kasutuselevõtu olulisust iga võrguteenuse jaoks ning julgustama kasutajaid pilves üleslaaditavat silmas pidama.
Kuna tänapäeva seadmed soovivad väga palju andmeid oma vastavatesse pilveteenustesse edastada, peaksid inimesed olema ettevaatlikud, et tundlikku meediumit ei laaditaks automaatselt veebi ega muid seotud seadmeid üles, ütles Malwarebytes'i pahavara luure analüütik Chris BoydPC Pro.
Ferguson soovitas, et rünnaku ohvriks langenud inimesed võisid unustada või ei saanud aru, et Apple sünkroonib kasutaja iPhone'i või iPadi fotovoo fotosid automaatselt nende iCloudiga.
Sel juhul näib, et mõned ohvrid võisid arvata, et fotode kustutamine nende telefonidest oli tema sõnul piisav.
Nii Boyd kui Ferguson soovitavad välja selgitada, kas ja kuidas tehakse pilveteenusesse salvestatud andmete varukoopiaid või varikoopiaid ja kuidas neid hallata.
Kaspersky Labi turvauuringute uurija Stefano Ortolani soovitas ka kasutajatel valida, millised andmed pilve salvestatakse, ja keelata automaatne sünkroonimine.
Võite ka väita, et nutitelefonid, mis on pidevalt Internetiga ühendatud, ei ole alasti piltide jaoks parim koht, ütles Boyd - Cluley ja Fergusoni kajastu.
PC Provõttis ühendust Apple'iga, et küsida, kas ettevõte oli teadlik oma iCloud-teenuse laiaulatuslikust häkkimisest, kuid polnud avaldamise ajal vastust saanud.