Groot nieuws afgelopen weekend in de showbizz: honderden pikante privé-kiekjes van Amerikaanse sterren werden op internetforum 4chan gepubliceerd. Met namen als Jennifer Lawrence, Kate Upton, Kirsten Dunst en Senela Gomez staat de diefstal nu al bekend als het grootste naaktfotoschandaal ooit. Hoewel er geen bewijs voor is, wordt door verschillende media Apple’s iCloud aangewezen als bron van de foto’s. Als dat inderdaad het geval is, hoe kunnen hackers daar dan toegang toe krijgen?
iCloud niet enige bron van gestolen foto’s
Inmiddels hebben zowel Apple als de FBI aangegeven de diefstal te onderzoeken. Het lijkt erop dat iCloud niet de enige bron is van de foto’s. De aanbieder van de foto’s zou op 4chan hebben aangegeven dat de foto’s gekocht zijn van verschillende mensen op de digitale zwarte markt. Ook zou het gaan om verouderde foto’s en foto’s die niet met een iPhone zijn gemaakt. De reden dat iCloud toch in de spotlights staat, is een lek in de dienst ‘Zoek mijn iPhone’ dat (toevallig of niet) samenvalt met publicatie van de foto’s.
De iPhone 14 Pro nu tot €12,50 korting per maand!
• €72 korting én €100 extra inruilvoordeel
• Extra voordeel als je thuis al KPN hebt
Lek in Zoek mijn iPhone
The Next Web ontdekte namelijk een recent gepubliceerd script dat het mogelijk maakt een ‘brute-force-aanval’ uit te voeren op de iCloud-dienst Zoek mijn iPhone. Met dit script kan een aanvaller het wachtwoord van een iCloud-account raden door een groot aantal (veelvoorkomende) wachtwoorden uit te proberen (brute-force). Dit gebeurt volledig geautomatiseerd. Normaalgesproken wordt voor de veiligheid een account geblokkeerd na enkele pogingen, maar dit was niet het geval bij Zoek mijn iPhone. Inmiddels heeft Apple dit lek gedicht.
Als de aanvaller eenmaal toegang heeft tot het iCloud-account van in dit geval beroemdheden, is het kinderspel om persoonlijke bestanden zoals foto’s, e-mail en contacten te downloaden. Zelfs als de gebruiker twee-staps-verificatie heeft ingesteld voor extra beveiliging, is het mogelijk om toegang te krijgen tot een back-up van iCloud. Daarin worden standaard alle foto’s van een iPhone of iPad opgeslagen. Behalve de claim op 4chan is er echter geen bewijs dat dit inderdaad de methode is geweest om de foto’s te stelen.
Social engineering
Een andere mogelijkheid om toegang te krijgen tot een account is ‘social engineering’. Hierbij richt de aanvaller zich op de zwakste schakel in computerbeveiliging: de mens. Een voorbeeld hiervan is phishing, waarbij gebruikers wordt gevraagd wachtwoorden of creditcardgegevens in te vullen op een site die authentiek lijkt. Hoewel social engineering niet uitsluitend betrekking heeft op iCloud maar bij iedere (internet)account kan worden toegepast, zijn beroemdheden al eerder het slachtoffer geworden van deze aanvalsvorm.
In 2011 wist een hacker toegang te krijgen tot de computer en mobiele telefoon van o.a. Christina Aguilera en Scarlett Johansson. Dit deed hij aan de hand van persoonlijke gegevens, waarmee hij wachtwoorden kon raden en beveiligingsvragen kon beantwoorden. Over beroemdheden is immers van alles te vinden op internet. Een soortgelijke aanval overkwam een techjournalist van Wired, die zijn Google-, iCloud- en Twitter-account in minder dan een uur kwijtraakte. Daarvoor was niet meer nodig dan de laatste 4 cijfers van zijn creditcard en een iets té behulpzame helpdeskmedewerker bij Apple. De procedures voor het resetten van accountgegevens zijn sindsdien aangescherpt.
Conclusie
In het geval van het naaktfotoschandaal is iCloud dus niet gekraakt. Daarvoor zijn de data te goed geëncrypteerd. Indien de foto’s inderdaad uit iCloud zijn gestolen, zijn de Amerikaanse sterren het slachtoffer geworden van een zwakte in Apple’s beveiliging en/of de vele informatie die op internet over hun privéleven te vinden is. Dat neemt overigens niet weg dat jij of wij niet kwetsbaar zijn. Ook al zijn we geen beroemdheid met pikante kiekjes, kwaadwillenden zijn minstens zo geïnteresseerd in wachtwoorden van betaalaccounts, creditcardnummers en andere vertrouwelijke gegevens.
Praat mee!