Vasárnap egy állítólagos hekker feltöltött a 4chan fórumára több tucat meztelen képet sztárokról, és további képeket, sőt videókat is ígért. Azt állította, rengeteg hírességnek szerezte meg a privát (nem feltétlenül szexuális tartalmú) képeit, és a fórumon több mint száz tételből álló listát tett közzé az áldozatokról.
Köztük van Jennifer Lawrence, Kirsten Dunst, Kate Upton, Avril Lavigne, Candice Swanepoel, Cara Delevingne, Kaley Cuoco, Mary-Kate Olsen, Rihanna vagy Winona Ryder is. Az internet persze egyből rávetődött a témára, rengeteg cikk jelent meg az esetről, és hamar feltöltötték a fotókat az Imgur nevű képmegosztóra.
Többen beszámoltak arról, hogy már régen törölt fotókról van szó, úgy tűnik, a hekker, ha már ott járt, rendesen körülnézett, és az elvileg törölt képeket is begyűjtötte.
Egyszerű törléssel, használjunk akár Windowst vagy Macet, valójában nem törlünk semmit, csak az adott fájl elérési útját szüntetjük meg. Ezek a tartalmak egészen addig elérhetők, amíg egy másik fájl felül nem írja őket. Ha ez még nem történt meg, az elvileg törölt fájlok segédprogramokkal helyreállíthatók.
Egyelőre csak találgatások vannak a képek forrásáról, hivatalosan senki semmit nem erősített meg. Viszont aki nem tagadja, hogy ő van a képeken (márpedig szép számmal akadnak ilyen hírességek), azoknál egy közös pont van: a fotókat az Apple iCloud online tárhelyére mentették el.
Az Apple operációs rendszerét (iOS) futtató eszközöknek van egy Photo Stream nevű szoftverük, amely automatikusan feltölti az elkészített fotókat, videókat a felhőbe. Ráadásul, ha valaki törli mondjuk az iPhone-járól a képet, attól még ott lesz a Photo Streamben, így a felhőben, az iCloudon is.
Az egész történet viszont sántít kicsit: az Apple elvileg minden képet titkosít , feltöltés közben és a tárolás során is. Persze láttunk már olyat, hogy a marketing megelőzte a valódi lépéseket, biztonsági hiba is segített már a kíváncsi szemeken, és előfordul, odaadják az adatokat a kormányoknak .
Az eddig kiszivárgó információk alapján a hírességeknek nem volt bekapcsolva a kettős beléptetés: ilyenkor egy sms-ben kapott kód kell a megerősítéshez, akkor is, ha a jelszót már beírtuk. Enélkül azonban a hekkeléshez elég volt megszerezni a felhasználónév-jelszó párosokat.
A további lépésekről már tényleg csak találgatni lehet, de azért van olyan verzió, ami könnyedén működhetet. Az első lépés a személyes emailcím megszerzése: mivel hírességekről beszélünk, nem biztos, hogy ez a legkönnyebb dolog. Vagy mégis: Jennifer Lawrence emailcíméről egy egész Time-cikk szól, januárban pedig elhagyta a telefonját egy taxiban, amit más talált meg. Innen már bármi megtörténhetett.
A hekkerek valószínűleg az emberek hiszékenységét is kihasználták, amit szaknyelven social engineering technikának neveznek. Ennek alkalmazásakor a támadók a már meglévő információikat ügyes kérdésekkel kombinálják, hogy még több információhoz jussanak. Nemrég így ellopták az @N nevű Twitter-felhasználó fiókját, pedig az akcióhoz nem kis cégeket kellett átverni, hanem a PayPalt és a Godaddyt, a világ egyik legnagyobb doménregisztrátorát.
Az Apple személyes jelszó-visszaállításához a felhasználó születésnapját kell tudni, ami a hírességek esetében a Wikipédiáról megszerezhető, ezen a választ kettőből három biztonsági kérdésre. Az embereket egyszerű dolgokat szoktak megadni, például a gyermekük vagy a kutyájuk nevét. Ezek az információk fent lehetnek az interneten, főleg hírességekről, tehát ez sem lehetett túl kemény dió. De az is lehet, hogy egyszerűen végigpróbálgatták a lehetséges jelszavakat. Ez sem tart túl sokáig, ha gyenge a jelszó.
Ha egyszer bejutottak, a letöltés már nem nehéz. Bár az iCloudban alapból nem láthatók az automatikusan feltöltött fotók, vannak olyan szoftverek, amelyekkel minden adatot ki lehet nyerni.
Kicsit. Ugyan nem sikerült feltörni az Apple biztonsági rendszereit, és a támadók nem több millió felhasználó adataihoz jutottak hozzá, csak a kiszemeltekhez, a mostani eset azért jól mutatja a rendszer sebezhető pontjait.
Ugyanez persze igaz minden felhőszolgáltatásra, legyen az az Androidba beleolvasztott Google+ fotótárhelye, vagy akár a Dropbox. Tökéletes védelem nincs, csak a reklámokban, de azért meg tudjuk nehezíteni az elkövetők dolgát.
+1: Ha már megszereztük a képeket, legalább ne kürtöljük világgá. Bár ennek a valóságtartalmában nem lehetünk biztosak, egy fórumbejegyzés szerint a 4chan felhasználói beazonosították az elkövetőt, sőt állítólag már rács mögé zárták. Ha mégis szabadlábon van még, akkor is érdemes vigyáznie, mert egy korábbi celebhekkert simán megtaláltak.