פגם בשירות Find My iPhone של אפל יכול היה להיות מאחורי מתקפה שהובילה לפגיעה בחשבונות iCloud של מאות ידוענים.
מספר נאמנות לקוחות at & t
סקריפט פיתון של הוכחת מושג שפותח על ידי HackApp על אילוץ אכזרי iCloud הסתובב באינטרנט כבר כמה ימים לפני תמונות עירומות של 17 נשים מפורסמות, כוללמשחקי הרעבהשחקנית ג'ניפר לורנס וסקוט פילגריםהשחקנית הראשית מרי אי ווינסטד הופיעה ברשת - ככל הנראה נגנבה מחשבונות iCloud שלהם.
ההאקר טען שיש לו תמונות של למעלה ממאה סלבריטאיות.
הקוד כנראה מאפשר לתוקפים לנחש סיסמאות שוב ושוב דרך מצא את האייפון שלי מבלי להפעיל נעילה או להתריע על המטרה.
לאחר שהתגלה הסיסמה, התוקף יכול להשתמש בה כדי לגשת לאזורים אחרים של iCloud.
אפל תיקה מאז את החור, למרות שיש טענות המועלות על Reddit שהתיקון פעיל רק באזורים מסוימים.
עם זאת, חוקר האבטחה גרהם קלולי טען שקשה להאמין שניתן היה להשתמש בזה בהצלחה מול מספר רחב של חשבונות ללא גילוי בפרק זמן קצר.
אפשרות נוספת שהעלו קלולי וחוקרים אחרים היא שלנפגעי ההתקפה הייתה סיסמא קלה לנחש או תשובות לאיפוס סיסמה.
אתרים רבים נותנים לך אפשרות 'שכחת את הסיסמה שלך', או מבקשים ממך לקפוץ בחישוקים על ידי מענה על 'שאלות סודיות' כדי להוכיח את זהותך, אמר קלולי.
עם זאת, במקרה של ידוען, ייתכן שיהיה קל במיוחד לקבוע את שם חיית המחמד הראשונה שלהם או את שם הנעורים של אמם בעזרת חיפוש פשוט בגוגל, הוסיף.
ריק פרגוסון, חוקר אבטחה בחברת Trend Micro, אמר גם 'פריצה' רחבה של iCloud של אפל אינה סבירה, ומציינת כי אפילו הכרזה המקורית לא טענה שזה המקרה.
הוא, כמו קלולי, הציע שהתוקף השתמש בקישור הסיסמה ששכחתי אם הם כבר ידעו ויש להם גישה לכתובות הדוא'ל שהקורבנות השתמשו ב- iCloud. הוא גם הציע כי הסלבריטאים המדוברים אולי נפלו קורבן להתקפת פישינג.
תגובה בטוויטר ואיומים משפטיים
בעוד שהתמונות הודלפו בתחילה ב- 4chan, לא לקח הרבה זמן עד שהתמונות של ג'ניפר לורנס במיוחד החלו להופיע בטוויטר.
תוך כשעתיים טוויטר החלה להשעות את כל החשבונות שפרסמו את כל התמונות הגנובות, אך על פי ציר זמן מהמראה , הרשת החברתית שיחקה משחק של שומה-חפרפרת, עם תמונות חדשות שהמשיכו להופיע יותר משעה לאחר שהחלה לפעול.
מרי אי ווינסטד לקחה את עצמה לטוויטר כדי לקרוא גם לאדם שפרסם את התמונות וגם לאלה שהביטו בהם.
לאלו מכם שמתבוננים בתמונות שצילמתי עם בעלי לפני שנים בפרטיות של ביתנו, מקווים שאתם מרגישים נהדר עם עצמכם.
- מרי א. ווינסטד (@M_E_Winstead) 31 באוגוסט 2014
עם זאת, בסופו של דבר היא נאלצה לסגת מהפלטפורמה כדי להתרחק מההודעות הפוגעניות שקיבלה
יוצאים להפסקת אינטרנט. אל תהסס להיכנס ל- @ שלי לקבלת הצצה איך זה להיות אישה שמדברת על כל דבר בטוויטר
- מרי א. ווינסטד (@M_E_Winstead) 1 בספטמבר 2014
איך מוחקים דפים ב- Google Docs
הדובר של ג'ניפר לורנס כבר אמר כי הם ימשיכו בהליכים משפטיים נגד מי שיפיץ את התמונות.
זו פגיעה בוטה בפרטיות. לדבריהם, פנו לרשויות ויעמידו לדין את כל מי שמפרסם את התמונות הגנובות של ג'ניפר לורנס.
בשנת 2011 ננקטה פעולה דומה כאשר הודעות דוא'ל של 50 ידוענים, כולל סקרלט ג'והנסון וכריסטינה אגילרה, נפרצו ותמונות עירום נגנבו והופצו ברבים.
בעקבות חקירת ה- FBI, העבריין, כריסטופר שאני מג'קסונוויל, פלורידה, נידון לעשר שנות מאסר.
אמצעי נגד ביטחוניים
כיצד להכין שיקוי עמיד בפני אש
בעוד שאנשים שאינם סלבריטאים נוטים פחות להפיץ את תמונות העירום שלהם בצורה כה רחבה כמו של אדם מפורסם, זה יכול וקורה עדיין.
מומחי אבטחה אמרו כי תקרית זו צריכה לשמש תזכורת לחשיבות שיש אמצעי אבטחה יעילים לכל שירות מקוון ולעודד את המשתמשים להיות מודעים למה שהועלה לענן.
מכיוון שהמכשירים של ימינו מאוד רוצים להעביר נתונים לשירותי הענן שלהם, אנשים צריכים להיזהר שמדיות רגישות לא יועלו אוטומטית לרשת, או התקנים מותאמים אחרים, אמר כריס בויד, אנליסט מודיעין תוכנות זדוניות ב- Malwarebytes.PC Pro.
פרגוסון הציע כי ייתכן שהאנשים שנפלו קורבן להתקפה שכחו או לא הבינו שאפל מסנכרנת תמונות ב- iPhone או ב- iPad Stream של המשתמש באופן אוטומטי ל- iCloud שלהם.
במקרה זה נראה כי ייתכן שחלק מהקורבנות האמינו כי די היה במחיקת התמונות מהטלפונים שלהם.
גם בויד וגם פרגוסון ממליצים לברר אם וכיצד לוקחים גיבויים או עותקי צל של נתונים המאוחסנים בשירות ענן וכיצד ניתן לנהל אותם.
סטפנו אורטולני, חוקר אבטחה במעבדת קספרסקי, הציע גם למשתמשים לבחור בדובדבן אילו נתונים מאוחסנים בענן ולהשבית את הסנכרון האוטומטי.
אתה יכול גם לטעון שסמארטפונים, המחוברים ללא הרף לאינטרנט, אינם המקום הטוב ביותר לתמונות עירום, אמר בויד - סנטימנט שהדהד קלולי ופרגוסון.
PC Proפנה לאפל כדי לשאול אם החברה מודעת לפריצה רחבת היקף של שירות iCloud שלה, אך לא קיבלה תגובה בזמן הפרסום.