Недостатък в услугата на Apple Find My iPhone можеше да стои зад атака, довела до компрометиране на стотици известни акаунти в iCloud.
как да разберете дали сте блокирани във Facebook
Писмен скрипт с доказателство за концепция, разработен от HackApp за грубо насилие iCloud циркулира онлайн няколко дни преди голи снимки на 17 известни жени, включителноИгри на гладаактрисата Дженифър Лорънс иСкот Пилигримглавната актриса Мери Е Уинстед се появи онлайн - очевидно открадната от техните акаунти в iCloud.
Хакерът твърди, че има снимки на над 100 женски знаменитости общо.
Кодът очевидно позволява на нападателите да отгатват пароли многократно чрез Find My iPhone, без да задействат блокиране или да предупреждават целта.
След като паролата е била открита, нападателят може да я използва за достъп до други области на iCloud.
Оттогава Apple закърпи дупката, въпреки че има искове, отправени към Reddit че пластирът е активен само в определени региони.
Изследователят по сигурността Греъм Клуи обаче твърди, че е трудно да се повярва, че това е могло да бъде успешно използвано срещу голям брой акаунти, без да бъде открито за кратко време.
Друга възможност, предложена от Cluley и други изследователи, е, че жертвите на атаката са имали или лесна за отгатване парола, или отговори за нулиране на паролата.
Много сайтове ви дават опция „забравена парола“ или ви молят да прескочите обръчите, като отговаряте на „тайни въпроси“, за да докажете самоличността си, каза Клули.
В случай на знаменитост обаче може да е особено лесно да се определи името на първия им домашен любимец или моминското име на майка им с просто търсене в Google, добави той.
Рик Фъргюсън, изследовател по сигурността в Trend Micro, също каза широкомащабен „хак“ на iCloud на Apple е малко вероятен, посочвайки, че дори оригиналният плакат не е твърдял, че е така.
Той, подобно на Клули, предположи, че нападателят може да е използвал връзката Забравих паролата си, ако те вече са знаели и са имали достъп до имейл адресите, които жертвите са използвали за iCloud. Той също така предположи, че въпросните знаменитости може да са станали жертва на фишинг атака.
Реакция в Twitter и правни заплахи
Въпреки че първоначално снимките изтекоха на 4chan, не след дълго снимките на Дженифър Лорънс започнаха да се появяват в Twitter.
В рамките на около два часа Twitter започна да спира всички акаунти, които са публикували някоя от откраднатите снимки, но по времева линия отОгледалото , социалната мрежа играеше на игра на удар, с нови снимки, които продължаваха да се появяват за повече от час, след като започна да действа.
Мери Уинстед се обърна към Twitter, за да извика както човека, публикувал снимките, така и тези, които ги разглеждат.
За онези от вас, които разглеждат снимки, които направих със съпруга си преди години в уединението на нашия дом, надявам се да се чувствате чудесно за себе си.
- Мери Е. Уинстед (@M_E_Winstead) 31 август 2014 г.
В крайна сметка обаче тя трябваше да се оттегли от платформата, за да се измъкне от обидните съобщения, които получаваше
Отивате на интернет почивка. Чувствайте се свободни за моите @ за поглед какво е да си жена, която говори за каквото и да е в Twitter
- Мери Е. Уинстед (@M_E_Winstead) 1 септември 2014 г.
как да изтрия всички приятели на
Говорителят на Дженифър Лорънс вече заяви, че ще предприеме правни действия срещу всеки, който разпространява снимките.
Това е грубо нарушение на поверителността. Властите са се свързали и ще преследват всеки, който публикува откраднатите снимки на Дженифър Лорънс, казаха те.
През 2011 г. бяха предприети подобни действия, когато имейлите на 50 знаменитости, включително Скарлет Йохансон и Кристина Агилера, бяха хакнати и голи снимки откраднати и публично разпространени.
След разследване на ФБР извършителят Кристофър Чейни от Джаксънвил, Флорида, беше осъден на десет години затвор.
Противодействие на сигурността
как да включа Bluetooth на компютър
Докато не-известните личности са по-малко склонни да получат своите разголени снимки толкова широко, колкото на известния човек, това може и все още се случва.
Специалистите по сигурността заявиха, че този инцидент трябва да напомня за важността на въвеждането на ефективни мерки за сигурност за всяка онлайн услуга и да насърчава потребителите да внимават какво е качено в облака.
Тъй като днешните устройства много искат да изпращат данни към собствените си облачни услуги, хората трябва да внимават чувствителните медии да не се качват автоматично в мрежата или други сдвоени устройства, каза Крис Бойд, анализатор на зловредния софтуер в MalwarebytesPC Pro.
Фъргюсън предположи, че е възможно хората, които са станали жертва на атаката, да са забравили или да не са разбрали, че Apple автоматично синхронизира снимки в iPhone или iPad Photo Stream на потребителя с техния iCloud.
В този случай изглежда, че някои от жертвите може да са вярвали, че изтриването на снимките от телефоните им е достатъчно, каза той.
Както Boyd, така и Ferguson препоръчват да се разбере дали и как се правят резервни копия или сенчести копия на данни, съхранявани в облачна услуга, и как те могат да бъдат управлявани.
Стефано Ортолани, изследовател по сигурността в Лабораторията на Касперски, също предложи потребителите да изберат кои данни се съхраняват в облака и да деактивират автоматичното синхронизиране.
Бихте могли също да твърдите, че смартфоните, които са непрекъснато свързани с интернет, не са най-доброто място за разголени снимки, каза Бойд - настроение, отразено от Клули и Фъргюсън.
PC Proсе свърза с Apple, за да попита дали компанията е наясно с мащабен хак на своята услуга iCloud, но не е получила отговор по време на публикуването.