I går ble det kjent at et eksepsjonelt stort antall personlige bilder til diverse kvinnelige kjendiser ble stjålet og lagt ut på nettet, de fleste av dem genuine.
Det som først var en ren kjendis-skandale ble raskt en sikkerhetsskandale også.
Bildene stammer nemlig fra kjendisenes iCloud-kontoer, som viste seg å være oppsiktsvekkende enkle å få tilgang til.
Det er ikke helt avklart hvordan innbruddet skjedde, men bildene dukket først opp på det kontroversielle nettforumet 4chan, og ble deretter spredd over mange andre bildedelingsnettsteder.
En teori er at et såkalt «brute force»-angrep kunne vært anvendt. Dagen før lekkasjen ble koden som kunne gjort angrepet mulig lastet opp til kodedelingssiden GitHub, og denne lot brukerne å utnytte en svakhet i Find My iPhone-applikasjonen. Koden kunne overvelde innloggingssiden til tjenesten med påloggingsforsøk uten at man ble stengt ut. Det eneste som var nødvendig var epost-adressen til eieren av kontoen. Deretter kunne man masseangripe tjenesten til riktig passord ble gjettet frem til. Problemet er selvsagt også for svake passord, men den lave sikkerheten gjorde det mulig å presse seg inn i systemet.
Koden, kalt «iBrute», ble opprinnelig vist frem av russiske sikkerhetseksperter tidligere i sommer.
Apple har i etterkant patchet svakheten, og angrepsmetoden fungerer ikke lenger.
Det er ikke helt sikkert at denne koden hadde konkret sammenheng med tyveriet av bildene, men sannsynligheten er der.
Apple har uttalt seg om innbruddet, og selskapets talsperson sier at de etterforsker hendelsen aktivt, og at de tar sikkerheten svært alvorlig. Også FBI uttaler at de ser på saken.
Flere sikkerhetseksperter, blant annet selskapet FireEye, sier (via Re/Code) at ifølge deres analyser virket angrepet til å ha vært ganske ukomplisert, og at det kunne vært ungått med én enkel metode - nemlig tostegs-autentisering av passord, som krever at ukjente nettlesere eller enheter må taste inn en ekstra kode før de får tilgang til kontoen.
En lærdom er altså at private bilder er ikke sikre, og det å aktivere tostegs-verifisering for iCloud er det minste man kan gjøre.
Les også:
- [14.01.2015] – Apple-sikkerhet fortsatt ikke bra nok
- [26.09.2014] – Ingen er hevet over loven
- [26.09.2014] – Apple visste om iCloud-hull
- [17.09.2014] Nå har Apple blitt sikrere
- [08.09.2014] Slik skal Apple sikre iCloud
- [08.07.2014] Apple klar med nye beta-utgaver
- [28.05.2014] Apple avviser at iCloud er hacket
