En feil i Apples Find My iPhone-tjeneste kunne ha stått bak et angrep som førte til at hundrevis av kjendisers iCloud-kontoer ble kompromittert.
hvordan se en venns ønskeliste på steam
Et bevis på konsept Python-skript utviklet av HackApp for brutal tvang iCloud hadde sirkulert online i flere dager før nakenbilder av 17 kjente kvinner, inkludertDødslekeneskuespillerinne Jennifer Lawrence ogScott Pilgrimhovedskuespillerinne Mary E Winstead dukket opp online - tilsynelatende stjålet fra deres iCloud-kontoer.
Hacker hevdet å ha bilder av over 100 kvinnelige kjendiser totalt.
Koden lar tilsynelatende angripere gjette passord flere ganger gjennom Finn min iPhone uten å utløse en lockout eller varsle målet.
Når passordet hadde blitt oppdaget, kunne angriperen bruke det til å få tilgang til andre områder av iCloud.
Apple har siden lappet hullet, selv om det er det krav på Reddit at lappen bare er aktiv i visse regioner.
Imidlertid har sikkerhetsforsker Graham Cluley hevdet at det er vanskelig å tro at dette kunne blitt brukt med suksess mot et stort antall kontoer uten oppdagelse på kort tid.
Et annet alternativ fremmet av Cluley og andre forskere er at ofrene for angrepet hadde enten et lett å gjette passord eller svar om tilbakestilling av passord.
Mange nettsteder gir deg et alternativet 'glemt passordet', eller ber deg hoppe gjennom bøyler ved å svare på 'hemmelige spørsmål' for å bevise identiteten din, sa Cluley.
I en kjendis tilfelle kan det imidlertid være spesielt enkelt å bestemme navnet på deres første kjæledyr eller mors mors pikenavn med et enkelt Google-søk, la han til.
Rik Ferguson, en sikkerhetsforsker med Trend Micro, sa også en storstilet ‘hack’ av Apples iCloud er usannsynlig, og påpeker at selv originalplakaten ikke hadde hevdet at det var tilfelle.
Han, i likhet med Cluley, foreslo at angriperen kunne ha brukt koblingen Jeg glemte passordet mitt hvis de allerede visste og hadde tilgang til e-postadressene ofrene brukte for iCloud. Han foreslo også at kjendiser det er snakk om kan ha blitt offer for et phishing-angrep.
Twitter-reaksjon og juridiske trusler
Mens bildene først ble lekket på 4chan, tok det ikke lang tid før spesielt bildene av Jennifer Lawrence begynte å vises på Twitter.
I løpet av omtrent to timer hadde Twitter begynt å suspendere alle kontoer som hadde publisert noen av de stjålne bildene, men ifølge en tidslinje fraSpeilet , det sosiale nettverket spilte et slag whack-a-mole, med nye bilder fortsatte å vises i godt over en time etter at det begynte å handle.
Mary E Winstead tok seg selv på Twitter for å ringe ut både personen som publiserte bildene og de som så på dem.
Til de av dere som ser på bilder jeg tok med mannen min for mange år siden i hjemmet vårt, håper dere har det bra med dere selv.
- Mary E. Winstead (@M_E_Winstead) 31. august 2014
Imidlertid måtte hun til slutt trekke seg fra plattformen for å komme vekk fra de voldelige meldingene hun mottok
Skal på internettpause. Ta gjerne en titt på @ @ for å få et innblikk i hvordan det er å være en kvinne som snakker om hva som helst på twitter
- Mary E. Winstead (@M_E_Winstead) 1. september 2014
deaktiver kommentarer på et facebook-innlegg
Talskvinnen til Jennifer Lawrence har allerede sagt at de vil fortsette rettslige skritt mot alle som distribuerer bildene.
Dette er et åpenbart brudd på personvernet. Myndighetene er blitt kontaktet og vil tiltale alle som legger ut stjålne bilder av Jennifer Lawrence, sa de.
I 2011 ble lignende tiltak tatt da e-post fra 50 kjendiser, inkludert Scarlett Johansson og Christina Aguilera, ble hacket og nakenbilder stjålet og spredt offentlig.
Etter en FBI-etterforskning ble gjerningsmannen, Christopher Chaney fra Jacksonville, Florida, dømt til ti års fengsel.
Sikkerhet mottiltak
hvordan du slår på Bluetooth på pc
Mens ikke-kjendiser har mindre sannsynlighet for å ha sine nakenbilder distribuert ganske så mye som en kjent person, kan det og skjer fortsatt.
Sikkerhetsspesialister har sagt at denne hendelsen skal tjene som en påminnelse om viktigheten av å ha effektive sikkerhetstiltak på plass for enhver online tjeneste og oppmuntre brukerne til å være oppmerksomme på hva som er lastet opp til skyen.
Med dagens enheter som er veldig opptatt av å skyve data til sine egne respektive skytjenester, bør folk være forsiktige med at følsomme medier ikke automatisk lastes opp til nettet, eller andre sammenkoblede enheter, sa Chris Boyd, malware-intelligensanalytiker i Malwarebytes.PC Pro.
Ferguson antydet at det var mulig at menneskene som hadde blitt offer for angrepet hadde glemt eller ikke var klar over at Apple synkroniserer bilder i en brukers iPhone eller iPad Photo Stream automatisk til deres iCloud.
I dette tilfellet ser det ut til at noen av ofrene kan ha trodd at det var nok å slette bildene fra telefonene sine, sa han.
Både Boyd og Ferguson anbefaler å finne ut om og hvordan sikkerhetskopier eller skyggekopier av data lagret i en skytjeneste tas, og hvordan de kan administreres.
Stefano Ortolani, sikkerhetsforsker ved Kaspersky Lab, foreslo også at brukere burde velge hvilke data som er lagret i skyen og deaktivere automatisk synkronisering.
Du kan også hevde at smarttelefoner, som kontinuerlig er koblet til internett, ikke er det beste stedet for nakenbilder, sa Boyd - en følelse som ekko av Cluley og Ferguson.
PC Prokontaktet Apple for å spørre om selskapet var kjent med et omfattende hack av iCloud-tjenesten, men hadde ikke fått svar på tidspunktet for publiseringen.