Na enkele dagen intern onderzoek van Apple bracht het bedrijf een verklaring uit hierover het hacken van iCloud-accounts van sommige beroemdheden, wiens delicate foto's naar het publiek lekten. Volgens Apple zijn de foto's niet gelekt door het hacken van iCloud- en Find My iPhone-services. De technici van het Californische bedrijf hebben door de manier waarop de hackers de foto's hebben verkregen, een gerichte aanval op gebruikersnamen, wachtwoorden en beveiligingsvragen vastgesteld. Ze gaven echter geen commentaar op de manier waarop de iCloud-foto's werden verkregen.
Volgens Wired zijn de wachtwoorden gekraakt met behulp van forensische software van overheidsinstanties. Op het prikbord Anon-IB, waar verschillende foto's van beroemdheden verschenen, bespraken sommige leden openlijk het gebruik van de software namens ElcomSoft telefoonwachtwoordbreker. Hiermee kunt u de verkregen gebruikersnamen en wachtwoorden invoeren om de volledige back-upbestanden van de iPhone en iPad op te halen. Volgens een door Wired geïnterviewde beveiligingsexpert komen de metadata van de foto's overeen met het gebruik van de genoemde software.
De hackers hoefden alleen gebruikersnamen (Apple ID) en wachtwoorden te achterhalen, wat ze waarschijnlijk hebben bereikt dankzij de eerder genoemde methode met behulp van het programma iBruut samen met de Find My iPhone-kwetsbaarheid, waardoor aanvallers het wachtwoord konden raden zonder een limiet op het aantal pogingen. Apple heeft de kwetsbaarheid kort nadat deze werd ontdekt, gepatcht. Ook het feit dat de slachtoffers van de hackeraanval geen tweestapsverificatie gebruikten, waarbij een code moest worden ingevoerd die naar de telefoon werd gestuurd, speelde een grote rol. Opgemerkt moet worden dat tweestapsverificatie niet van toepassing is op iCloud-back-up- en Photo Stream-services, maar deze zouden het in de eerste plaats veel moeilijker maken om gebruikersnaamwachtwoorden te verkrijgen.
Maar zelfs met tweestapsverificatie is iCloud niet optimaal beschermd. Zoals ontdekt door Michael Rose van de server TUAAWanneer u Photo Stream, Safari-back-up en e-mailberichten synchroniseert met een nieuwe Apple-computer, wordt de gebruiker niet gewaarschuwd dat er toegang is verkregen tot de gegevens vanaf de nieuwe computer. Alleen met kennis van de Apple ID en het wachtwoord was het mogelijk om de genoemde inhoud te downloaden zonder medeweten van de gebruiker. Zoals je kunt zien vertonen de clouddiensten van Apple nog steeds enkele scheurtjes, ook al wordt de gebruiker beschermd door tweestapsverificatie, wat overigens nog steeds niet beschikbaar is in bijvoorbeeld Tsjechië of Slowakije. Na deze affaire daalden de aandelen van Apple immers met vier procent.
Je zou niet geloven hoe een paar beroemdheden met een dementerend eenvoudig wachtwoord en pornofoto's op hun telefoon de aandelen van zo'n groot bedrijf kunnen verplaatsen :)
Ze spelen een integrale rol in het feit dat gebruikers gegevens en behoorlijk wat privacy zijn kwijtgeraakt, dus in dit geval is het prima dat aandelen dalen. Het is in ieder geval leren letten op de beveiliging en voor ons als gebruikers lijkt het in ieder geval prima ;-).
De wachtwoorden werden dus gekraakt met behulp van het iBrute-programma, dat een 'trial/error'-methode gebruikt om alle veelgebruikte wachtwoorden volgens een woordenboek te proberen. Het zwakke punt was dat de slachtoffers een woordenboek of een zwak wachtwoord hadden en Apple blokkeerde deze methode niet (bijvoorbeeld door het aantal mislukte pogingen per minuut te beperken) in Find My Phone (nu opgelost). Zodra ze de wachtwoorden hadden, konden ze doen wat ze wilden. Om echter geen informatie vrij te geven over de registratie van een ander apparaat met dezelfde Apple ID, hebben ze met behulp van het EPPB-programma een volledige back-up van de iPhone van iCloud gedownload en met dat programma foto's uit de back-up gehaald. Conclusie: een goed wachtwoord is gewoon een must.
Het zou mij niet verbazen als het ook een betaalde zet was. een paar dagen voor de introductie van supernieuwe dingen zoveel mogelijk vuil op de Apple-gigant gooien. Het is ook een van de mogelijke scenario's van hoe het had kunnen zijn. Om vandaag de dag enthousiast te worden over aandelen, hoef je alleen maar te beseffen hoe gevoelig aandelen zijn. Maar degene die de beste is, zal altijd een draai krijgen, dat zal niet veranderen.
Ze spelen een integrale rol in het feit dat gebruikers gegevens en behoorlijk wat privacy zijn kwijtgeraakt, dus in dit geval is het prima dat aandelen dalen. Het is in ieder geval leren letten op de beveiliging en voor ons als gebruikers lijkt het in ieder geval prima ;-).
Natuurlijk betaalt Apple nooit ergens voor. Stop met het verdedigen van de raad, koste wat het kost. Het is nu al gênant. Ze hebben het gewoon gedeeld
Vandaag ontving ik een e-mail van "checkauth@apple.com". Het lijkt precies op Apple en er staat dat er een applicatie is gedownload die ik niet eens gebruik, van mijn account. Toen ik mijn wachtwoord wilde wijzigen, werd ik doorgestuurd naar een pagina die er precies zo uitziet als Apple.com, maar het URL-adres is duidelijk anders.