Wczoraj wyciekły zdjęcia znanych aktorek, o czym pisałem dzisiaj rano. W międzyczasie już wszyscy i ich wujek napisali, że winę za to ponosi iCloud i tym samym Apple. Firma z Cupertino jest w końcu gorącym tematem i należy wycisnąć z niej ile się da, nawet jak się pisze bzdury. A wszystko to bazuje na komentarzach nieznanych osób z for 4chan… Ale zacznijmy od początku.
Najważniejsze jednak jest to, że wszystkie teorie pojawiające się w internecie są właśnie tym – teoriami.
Wykradziono zdjęcia celebrytkom takim jak Jennifer Lawrence czy Kate Upton – to jest niepodważalne, zakładając oczywiście, że nie są to fotomontaże. Patrząc po reakcjach niektórych z pokrzywdzonych dziewczyn większość z nich niestety jest oryginalna. Metoda jaką je wykradziono nie jest na obecną chwilę znana. Najważniejsze jednak jest to, że wszystkie teorie pojawiające się w internecie są właśnie tym – teoriami. W międzyczasie PR Apple, ustami Natelie Kerris, poinformowała Re/code, że „traktują prywatność swoich użytkowników bardzo poważnie i badają sprawę”.
Wielu specjalistów od bezpieczeństwa we wszelkich mediach twierdzi, że atak był spowodowany atakiem bezpośrednio na konta celebrytek. Teoretycznie mogła wystarczyć znajomość Apple ID tylko jednej z nich – z konta, na przykład pocztowego, tej osoby możliwe było uzyskanie danych pozostałych osób. Mogły być znajomymi lub miały siebie w kontaktach – to są przypuszczenia. Usługa Find My iPhone jednak miała dziurę, która została zgłoszona Apple dwa dni temu i załatana dzisiaj rano, około godziny 10:00 CET. Polegała on na tym, że można zgadywać hasło do konta nieskończenie wiele razy – tradycyjnie takie próby są blokowane po wprowadzeniu trzech błędnych haseł. Więcej informacji na temat iBrute znajdziecie tutaj. Nie wiadomo jednak czy złodziej rzeczywiście skorzystał z tej dziury. No i jest jeszcze jeden szkopuł…
To sugeruje, że były one wykradane miesiącami jeśli nie latami…
Nie wszystkie zdjęcia były wykonane iPhonem – na kilku zdjęciach widać Androidy odbijające się w lustrach. Wiele zdjęć było też bardzo starych, a część dziewczyn twierdzi, że te, które zostały opublikowane są sprzed wielu lat i/lub już dawno skasowane z ich telefonów. To sugeruje, że były one wykradane miesiącami jeśli nie latami i kolekcjonowane, a złodziej dopiero wczoraj zdecydował się na ich publikację. Ale to nie koniec…
Pojawiły się też opinie, iż zdjęcia pochodzą z backupów robionych do iTunes (które mogą być szyfrowane, ale nie muszą) – domyślono się tego po nazwie plików. Aby dostać się do backupu jest potrzebny dostęp do komputera, najlepiej fizyczny. Pozostałe teorie mówią o kradzieży tych zdjęć przez operatora GSM – rzekomo potwierdza to rozmiar niektórych zdjęć.
Wróćmy na moment do Apple – wiemy, że ich dział bezpieczeństwa od lat działa opieszale. Być może łatanie dziur nie jest ich priorytetem. Być może długo trwają testy całości. A może po prostu w tym dziale pracuje za mało osób. Nie wiemy niestety nic na ten temat, więc możemy się tylko domyślać stanu faktycznego. Nie wieszajmy jednak jeszcze na nich psów za to, bo nie ma żadnej potwierdzonej informacji, że skorzystano z metody brute force.
Dzisiaj sam próbowałem włamać się na konto iCloud Dominika Łady…
Najłatwiejszą metodą jest włamanie się poprzez przypominacz hasła, co opisałem dzisiaj rano, oraz ewentualnie phishing, który jest jeszcze prostszą metodą. Żadne z nich też nie wymaga specjalnych zdolności programistycznych – dzisiaj sam próbowałem włamać się na konto iCloud Dominika Łady, niestety nieskutecznie, bo się na tyle dobrze zabezpieczył, że odechciało mi się głupich prób udowadniania czegokolwiek. Nie korzysta jednak z two factor authentication (koniecznie przeczytajcie przepis na jego uruchomienie), który w takich sytuacjach zapewnia dodatkowy poziom bezpieczeństwa.
Apple w wybranych krajach – bodajże w USA i Kanadzie – uruchomił podwójną weryfikację już ładnych kilka miesięcy temu. Usługa ta w Polsce dostępna dopiero jest od paru tygodni. Pomimo tego, firma z Cupertino nie chwali się tym w zasadzie nigdzie – gdy nie to, że regularnie zaglądałem do ustawień swojego Apple ID to prawdopodobnie nie dowiedziałbym się o tym nigdy samodzielnie. Liczę na to, że w przyszłości opcja właczenia 2FA będzie bardziej aktywnie promowana przez Apple.
Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.