Ошибка в сервисе Apple Find My iPhone могла быть причиной атаки, которая привела к взлому учетных записей iCloud сотен знаменитостей.
как получать сообщения в инстаграмм
Скрипт Python для проверки концепции, разработанный HackApp за грубое принуждение iCloud распространялся в Интернете в течение нескольких дней, прежде чем обнаженные фотографии 17 известных женщин, в том числеГолодные игрыактриса Дженнифер Лоуренс иСкотт ПилигримВедущая актриса Мэри Э Уинстед появилась в сети - по всей видимости, украденная из их учетных записей iCloud.
Хакер заявил, что у него есть фотографии более 100 знаменитостей.
Код, по-видимому, позволяет злоумышленникам повторно угадывать пароли через Find My iPhone, не запуская блокировку и не предупреждая цель.
Как только пароль был обнаружен, злоумышленник мог использовать его для доступа к другим областям iCloud.
Apple с тех пор залатала дыру, хотя есть претензии, сделанные на Reddit что патч активен только в определенных регионах.
Однако исследователь безопасности Грэм Клули заявил, что трудно поверить, что это могло быть успешно использовано против большого количества учетных записей без обнаружения за короткий промежуток времени.
Другой вариант, предложенный Клули и другими исследователями, заключается в том, что жертвы атаки имели либо легко угадываемый пароль, либо ответы для сброса пароля.
По словам Клули, многие сайты предлагают вам вариант «забыть пароль» или просят пройти через обручи, отвечая на «секретные вопросы», чтобы подтвердить свою личность.
Однако в случае знаменитостей может быть особенно легко определить имя их первого питомца или девичью фамилию их матери с помощью простого поиска в Google, добавил он.
Рик Фергюсон, исследователь безопасности компании Trend Micro, также сказал широкомасштабный «взлом» iCloud от Apple маловероятен, указывая на то, что даже оригинальный плакат не утверждал, что это было так.
Он, как и Клули, предположил, что злоумышленник мог использовать ссылку «Я забыл свой пароль», если они уже знали и имели доступ к адресам электронной почты, которые жертвы использовали для iCloud. Он также предположил, что упомянутые знаменитости могли стать жертвами фишинг-атаки.
Реакция Twitter и юридические угрозы
Хотя фотографии изначально просочились на 4chan, вскоре фотографии Дженнифер Лоуренс начали появляться в Твиттере.
Примерно через два часа Twitter начал блокировать все аккаунты, в которых были опубликованы украденные фотографии, но согласно графику отЗеркало , социальная сеть играла в игру «вонзай крота», и новые картинки продолжали появляться в течение более часа после того, как она начала действовать.
Мэри Уинстед сама зашла в Твиттер, чтобы позвонить как человеку, опубликовавшему фотографии, так и тем, кто на них смотрел.
Тем из вас, кто смотрит фотографии, которые я сделала с мужем много лет назад в уединении нашего дома, надеюсь, вы чувствуете себя прекрасно.
- Мэри Э. Уинстед (@M_E_Winstead) 31 августа 2014 г.
Однако в конце концов ей пришлось уйти с платформы, чтобы избежать оскорбительных сообщений, которые она получала.
Собираюсь на перерыв в Интернете. Не стесняйтесь обращаться к моим @, чтобы увидеть, каково быть женщиной, которая говорит о чем угодно в Твиттере.
{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
- Мэри Э. Уинстед (@M_E_Winstead) 1 сентября 2014 г.
Представитель Дженнифер Лоуренс уже заявила, что они будут возбуждать судебные дела против любого, кто распространяет фотографии.
Это грубое нарушение конфиденциальности. По их словам, с властями связались и будут преследовать любого, кто разместит украденные фотографии Дженнифер Лоуренс.
В 2011 году аналогичные действия были предприняты, когда электронные письма 50 знаменитостей, в том числе Скарлетт Йоханссон и Кристина Агилера, были взломаны, а фотографии обнаженных людей были украдены и публично распространены.
После расследования ФБР преступник, Кристофер Чейни из Джексонвилля, штат Флорида, был приговорен к десяти годам тюремного заключения.
Контрмеры безопасности
как разбанить людей на разлад
Хотя у лиц, не являющихся знаменитостями, вероятность того, что их фотографии в обнаженном виде будут распространяться так же широко, как у знаменитостей, ниже, чем у знаменитостей, это может и происходит.
Специалисты по безопасности заявили, что этот инцидент должен послужить напоминанием о важности наличия эффективных мер безопасности для любой онлайн-службы и побудить пользователей помнить о том, что загружается в облако.
Поскольку современные устройства очень заинтересованы в передаче данных в свои собственные облачные сервисы, люди должны быть осторожны, чтобы конфиденциальные носители не загружались автоматически в Интернет или другие сопряженные устройства, сказал Крис Бойд, аналитик вредоносных программ в MalwarebytesПК Pro.
Фергюсон предположил, что, возможно, люди, ставшие жертвами атаки, забыли или не осознали, что Apple автоматически синхронизирует фотографии в iPhone или iPad Photo Stream пользователей с их iCloud.
В данном случае кажется, что некоторые из жертв, возможно, считали, что удаления фотографий со своих телефонов было достаточно, сказал он.
И Бойд, и Фергюсон рекомендуют выяснить, создаются ли резервные или теневые копии данных, хранящихся в облачной службе, и как ими можно управлять.
Стефано Ортолани, исследователь безопасности в «Лаборатории Касперского», также предложил пользователям выбирать, какие данные хранятся в облаке, и отключить автосинхронизацию.
Вы также можете возразить, что смартфоны, которые постоянно подключены к Интернету, - не лучшее место для фотографий обнаженной натуры, сказал Бойд - это мнение разделяют Клули и Фергюсон.
ПК Proсвязался с Apple, чтобы узнать, известно ли компании о широкомасштабном взломе ее службы iCloud, но не получил ответа на момент публикации.