Internete pasklido galimai iš iCloud „nutekėjusios“ intymios įžymybių nuotraukos

Temos: iCloud, Saugumas

Rugsėjo 1 dieną internete pasirodė pusiau ir visai nuogų įžymybių nuotraukos, kurios galimai pas juos pateko iš įžymybių „iCloud“ paskyrų.

Vieni ekspertai mano, kad šių nuotraukų šaltinis gali būti „Find My iPhonesaugumo spraga, kuria buvo pasinaudota išnaudojant pirmadienį „Github“ tinkle paskelbtą Python skriptą. Šio skripto pagalba, žinant vartotojo „Apple ID“, buvo galima „brute force'inti“ vartotojo slaptažodį, nes sakoma Apple nebuvo uždėjusi nesėkmingų slaptažodžių bandymo limito. Dabar „Apple“ šią klaidą jau yra ištaisiusi, nesėkmingų slaptažodžių bandymus apribodama iki 5 kartų.

Kiti saugumo ekspertai mano, kad tai greičiausiai slaptažodžių nulaužimo, piktybinio kodo ar phishing atakų pasekmė. Aš taip pat pritarčiau jiems, nes nuotraukose matosi, kad kai kurie prieš veidrodį daryti „selfiai“ yra fotografuoti ne „iPhone“. „iCloud“ nulaužimo fakto nedeklaruoja ir pats programišius. Greičiausiai tai tendencingo ir ilgo darbo rezultatas, kurio metu įvairiais būdais buvo stengiamasi sužvejoti šių garsenybių slaptažodžius ir kai kurie ekspertai teigia jog labiausiai tikėtina, kad slaptažodžiai sužinoti įsilaužiant į šių žmonių kompiuterius. Yra ir dar viena galimo nuotraukų ir video išplaukimo į viešumą versija: garsenybių įrenginiai buvo nulaužti per Wi-Fi, „Emmy“ apdovanojimų ceremonijos metu.

Aktorė Jennifer Lawrence bei keli kiti nelaimėliai, kurių į viešą erdvę pateko ne tik asmeninės intymios nuotraukos, bet ir video pradžioje sakė, kad nuotraukose visai kiti žmonės, bet vėlesnis Lawrence atstovo spaudai pareiškimas, kad tai „neteisėtas įsiveržimas į privačią aktorės erdvę apie kurį jau informuoti teisėsaugos pareigūnai“, tais „kitais žmonėmis nuotraukose“ verčia abejoti.

Jennifer Lawrence - Mystique filme X-Men
Jennifer Lawrence - Mystique filme X-Men

Be Jennifer Lawrence, tarp nelaimėlių, kurių intymios nuotraukos pasklido po internetą yra tokios pavardės kaip: Aly ir AJ Michalka, Aubrey Plaza, Abby Elliott, Avril Lavigne, Amber Heard, Brie Larson, Candice Swanepoel, Cara Delevigne, Emily Ratjakowski, Farrah Abraham, Gabrielle Union, Hayden Pannettiere, Hope Solo, Hillary Duff, Jenny McCarthy, Kayley Cuoco, Kate Upton, Kate Bosworth, Keke Palmer, Kim Kardashian, Kirsten Dunst, Krysten Ritter, Lea Michele, Lizzy Caplan, Mary Kate Olsen, Mary Elizabeth Winstead, Rihanna, Scarlet Johansson, Selena Gomez, Vanessa Hudgens, Wynona Ryder, Alison Brie ir Dave Franco.

Rusėjo pirmosios ryte šios nuotraukos pasirodė 4Chan svetainėje, tačiau vėliau buvo pašalintos,bet yra suspėjusių padaryti tų vaizdelių ekrano ir pavardžių sąrašų kopijas bei nežiūrint to, kad paslaugų tiekėjai tas nuotraukas išsijuosę trina, internete vis dar yra svetainės skelbiančios šias pilno dydžio nuotraukas ir video vaizdus. Pažiūrėjęs pasklidusias nuotraukas ir video, pagalvojau kad: kai kurioms įžymybėms, po šių vaizdelių pasirodymo, buteliuko širdies lašų dienai gali ir neužtekti...

Kadangi, panašu, kad tai nėra iCloud saugumo spraga, o greičiau problema „tarpinėje“ tarp kompiuterio ir kėdės, teisingiau jos negebėjime teisingai naudoti slaptažodžių apsaugos — pagalvokite ir apie save — ar tik ir jūs nesate toje pačioje rizikos grupėje. Nors gal super intymių nuotraukų debesyse (nebūtinai „iCloud“) ir nesaugote, tačiau spėju nenorėtumėte išvysti savo nuotraukų, kurios neretai dar būna atitinkamai paredaguotos pakeičiant vaizdą ar pridedant užrašus, plavinėjant kibernetinėje erdvėje be jokios jūsų galimybės tą reikalą suvaldyti.

Kad man galvos nenusuktų šiek tiek cenzūruotų, pora vienos iš aukščiau minimų personų nuotraukų.

„Apple“ atstovė spaudai Natalie Kerris sakė, kad „Apple“ į privatumą žiūri labai rimtai ir tiria šį įvykį.

Kurdami slaptažodį naudokite didžiąsias, mažąsias raides, skaičius ir simbolius. Kaip greitai jūsų sugalvotas slaptažodis suklups brute-force atakoje iš paprasto kompiuterio patikrinti galite šioje svetainėje (neveskite tikro slaptažodžio, tik panašų - ten kur raidės - raides, kur skaičiai - skaičius ir t.t.). Atminkite, kad šioje svetainėje rodomas tik apytikslis laikas kiek truktų „nulaužti“ jūsų slaptažodį naudojant paprastą kompiuterį. Programišiai dažnai naudoja galingus kompiuterius todėl jei svetainė rašo, kad slaptažodis gali atlaikyti iki metų trunkančią brute-force ataką, tai programišiaus kompiuteryje tai gali trukti keletą dienų.
Stiprus slaptažodis nėra garantija, kad jis ateityje nebus nulaužtas, tačiau naudojant didžiąsias ir mažąsias raides, skaičius bei simbolius ir slaptažodį ne trumpesnį nei 15 simbolių tokią tikimybę sumažina. Taip pat niekada „Apple ID“ nenaudokite tokio pačio slaptažodžio kokį naudojate kitai paskyrai jau nekalbant apie tai, kad „Apple ID“ slaptažodis galėtų būti toks pats kaip ir tos el. pašto paskyros slaptažodis.
Apytikslis skaitymo laikas – 4 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Komentarų: 30 | Ačiū, kad rašote lietuviškai

  1. Kad šį kartą "Kadangi, panašu, kad tai nėra iCloud saugumo spraga, o greičiau problema „tarpinėje“ tarp kompiuterio ir kėdės, teisingiau jos negebėjime teisingai naudoti slaptažodžių apsaugos" netinka šis posakis dėl tarpinės... :)
    Pats Apple susimovė kaip kokie megėjai, kurie neįdiegė laiku bruteforce atakos apsaugos ;)
    http://9to5mac.com/2014/09/01/vulnerability-in-find-my-phone-service-and-weak-passwords-may-explain-alleged-celebrity-photo-leaks/

    • Tai tą patį ir aš rašiau. Dabar tyrimą pradėjo FTB ir bus matyt ką jie ten suras. Nesakau, kad Apple susimovė, nes aš nedalyvauju tyrime.
      Remiantis Apple informacija Backup duomenys iCloud'e yra užšifruoti ir ne kažin kiek naudos iš jų juos turint. Todėl man panašiau, kad buvo įsilaužta į kompiuterius. Kai kuriose nuotraukose esantys EXIF duomenys rodo, kad nuotraukos pabuvojo ir buvo Windows kompuose, o Upton atveju tai nuotraukos iš jos vaikino ragelio (matyt ji jas jam nusiuntė).
      Gali būti, kad kas nors nulaužė tų žmonių kompus, o kažkas kitas nulaužė to chakeriuko kompą. Kol kas kaltinami pirštai krypsta į Southern Digital Media sysadmin'o Brian F Hamade pusę. Žodžiu kai suras kas tai padarė sužinosime ir kaip, o tą pilietį matyt ištiks Christopher Chaney likimas.
      Versijų yra įvairių, tačiau kokių nors įrodymų dar nėra.

  2. Vis gi man atrodo, kad čia bus pasidarbavusi CurvedHands.dll programėlė. Tai yra senas skriptas kaip pasaulis.

  3. Jau ne pirmi tokie nulauzimai neperseniausiai ir Dmitrijaus Medvedevo buvo nulauztas. Stai jums ir iPhone saugumas. Skyliu buvo ir bus visados vienos uzlopomos kitos atsiranda.
    O kiek mes dar nezinom, cia lasas juroj kazkoks hakeris norejo pasizaisti ir isgarseti, o kas rimciau tai dirba tokiu dalyku net neskelbia, renka jiems reikalinga informacija. Geriausia apsauga jokio interneto :)

  4. Turbut tokio antausio applei dar niekas nebuvo sudaves, idomu kaip dabar iphone fanai teisinsis kad ju duomenys saugus :)
    O gal cia ir samsumgas nagus prikiso, pries pasirodant iphone 6
    Per visa istorija tokios informacijos dar niekas nebuvo nutekines, ten jau ne tik nuogos nuotraukos, bet ir porno, net video. Dabar pasaulis laukia antros dalies "grozybiu" tik serveriai luzta neatlaiko tokio anpludzio ir t.t. antra dalis sveria jau 1.35 GB

    • Na teisintis dar nėra reikalo. Manau čia pačių tų nukurvėjusių Holivudo žvaigždelių bėdos, kad jos naudoja slaptažodžius, kurie pasiduoda po kelių minučių ar dar trumpiau trunkančio brute-force'inimo.

      O dėl tų nuotraukų ir video, tai nemanau, kad labai kam skauda kepenis, kad tų įžymybių tarpkojai pasklido po internetą.

      • Negalima teigti, jog čia vien tik tų kurvų kaltė, Apple irgi galėjo pasirūpinti stipresne apsauga nuo brute-force'inimo ir pavyzdžiui įdiegti two-step verification ir bandant restorinti back-up'ą :) Nes dabar visi pereina prie debesijos ir daugiau informacijos laikoma debesyje, tai tokios kompanijos turėtų įdiegti daugiau apsaugų, o dabar tokia kompanija net nebuvo uždėjusi slaptažodžio spėjimo kiekio apribojimo... :)

        • Ir taip, ir ne. Jei jos naudotų slaptažodžius, bent jau tokius kaip ~MyB1gB@@bs tai jiems nubruteforcinti reikėtų apie 50 000 metų - ko gero ilgiau nei kas nors, norintis paspoksoti į jų tarpkojį jpeg formatu, galėtų sau leisti.
          Pvz. jei, tarkim, kieno nors slaptažodis yra „2bobies“ atsilaikantis prieš Brute-force iki 11 minučių, ar dėl to, kad prie tos paskyros gali prieiti pašalietis kalta kompanija ar tos paskyros vartotojas?
          Sutinku, kad Apple galėtu įdiegti dviejų pakopų autentikaciją atstatymams iš backup'ų jau nekalbant apie tai, kad ją įdiegti galėtų visose šalyse, nes dabar mes Lietuvoje apskritai neturime galimybės jos naudoti.

          • Na manau, kad po šio skandalo Apple įdiegs two-step verification ir bandant restorinti, kas logiškai mąstant jau seniai turėjo būti padaryta. Bet gaila, kad vėl liksim už borto, nes Applui mažumos neįdomios. Kartais sunku ir suprast, kodėl tokia funkcija nėra įdiegiama net Lietuvoje, kai ryšio operatorių įkainiai mažiausi visame pasaulyje ir net iCloud keychain veikia sms verification Lietuvoj.

            • Tas 2x autentikavimo metodas taip pat nėra patogus. Naudojant jį atsiunčiama žinutė su kodu. Įsivaizduok situaciją kai restorini iš backupo iPhone ir tai vienintelis Apple įrenginys. Į kurią vietą tikiesi gauti kodą?
              Apple 2x atveju turi naudoti duomenis kai esi užsienyje, kad gautum kodą, o iš tų kas naudoja Google 2x autentikaciją ir dažnai keliauja taip pat nepatenkinti, nes turi naudoti savo SIM, romingą ir t.t.

              • Prieš restorint reikėtų suvesti kodą arba tai padarytų automatiškai, nes kai nusistatinėji iPhone nuo 0, tai pasirinkus iCloud keychain dalyje sms patvirtinimą, tai net nematai atsiųsto kodo, nes jei ta sim kortelė, kuri buvo priskirta, tai automatiškai patvirtina arba būtų galimybė pridėti antrą numerį ir tiek, problemos kaip ir nelieka. Kas dėl google, tai suvedi vieną kartą, pažymi, kad atsimintų naudojamą prietaisą ir viskas, neįsivaizduoju dėl ko jie skundžiasi.

                • Galimybė pridėti kitą numerį restorinant ir be kodo, tarkim pakeitei sim'ą ir numerį, reikštų tą galimybę tai padaryti bet kam.
                  Google įrenginių atsiminimas ne visada ir visiems tinkamas, nes pasinaudojus kitu įrenginiu, tarkim internetinėje kavinėje taptum priklausomas nuo to kompo saugumo. O kaitalioti nustatymus - tas pats kaip visada rakinti namų duris, išskyrus atvejus kai išvažiuoji atostogauti. Tad mano galva, gera, stiprių slaptažodžių strategija pakankamai saugus ir patogus būdas - aukso vidurys.

                  • Ta prasme pridėti papildomą numerį per Apple ID svetainę, kur paskui turi suvesti gautą kodą telefone kaip Google, kad patvirtinti pridėtą numerį. Tai neįsivaizduoju kaip kiti pridėtų savo nepriskirtus per Apple ID numerius o.O

                    Ramūnai, kaip pats manai ar daug yra tokių, kur naudojasi kitais prietaisais užsienyje norint patikrinti, kokį gmail? :) Public hotspot'e 2x daug saugesnis negu kad ir pats sudėtingiausias slaptažodis, nebent naudosi VPN.

              • Kiek as pamenu tai romingo pajungimas nemokamas ir zinutes gaunamos nemokamai.
                Be to tie kodai siunciami tik tuo atveju jei kazkokie keisti dalykai darosi su tavo accauntu. Buten siuo atveju kas ivyko su apple jau geriau uzsiblokuoja kazkuriam laikui nei koks sukcius isibrauna i tavo privatuma.

                • Šiuo atveju taip - bet tokios sistemos turi tikti visiems atvejams, o ne tik kai kuriems. Ne visiems pasaulyje taip sekasi kaip mums. Pvz. JAV net ir toje pačioje šalyje būdami amerikonai už skambutį moka: ir tas kas skambina ir tas kam skambina.

                  • As ne apie skambucius kalbu, eina kalba apie sms. Jei kazkas ne taip atsitinka su tavo paskira automatiskai prasoma patvirtinti savo tel. numeris ir ten issiunciama sms zinute su kodu

                    • Suprantu, kad ne apie skambučius kalba. Amerikonai moka ir už gaunamas SMS, kai yra užsienyje. Skambučius pridėjau tik kaip pvz.
                      Google atveju yra tai kaip nustatysi - yra nustatymas kai kodas siunčiamas kiekvieno prisijungimo metu - ir mano galva šis būdas yra logiškas, priešingu atveju „pametus“ telefoną, bet nesu tikras ar Androidai gali backupintis į Google debesį.
                      Apple atveju kodai siunčiami„nutikus“ ir tai nėra 100% veikiantis variantas, nes gali būti situacijų, kai tas kodas nebus atsiųstas arba jei bus (pvz. siunčiant Messages žinutę ne telefono numeriu, o Apple ID) - tai iš to jokios naudos, nes jis gali būti atsiųstas bet kam kas „turi“ tą Apple ID.

  5. Taigi 2x patvirtinimas vyksta kodais, kurį gauni į priskirtą numerį. Nesupratau, kur ir kaip programišius suves telefono numerį ir kas iš to, kai yra reikalaujamas kodas iš random skaitmenų, kuri gaus tik priskirti numeriai o.O

    • Ir jis negalės prisijungt, kol kodo nesuves*

      • tai tokiu atveju kodo negalėsi suvesti ir pats, jei nutarei pakeisti namą, religiją, žmoną, telefoną ir jo numerį senuosius palikdamas toli, toli...

        • Jau greičiau išgaruos iš galvos tas super duper slaptažodis nei pasikeisi numerį pamiršdamas nustatymuos pakeisti į naują numerį. Jei atvirai, Ramūnai, kartais nesuprantu tavo to aklo Apple gynimo politikos. Akivaizdu, kad Apple suklydo ir gerai neapgalvojo dėl papildomo saugumo, nes tas 2x patvirtinimas yra daug saugesnis negu sudėtingas slaptažodis, ką jau kalbėt apie jų tandemą. Gero vakaro Jums.

          • Tai, kad neginu aš tos Apple. Dviejų pakopų autentikacija nėra nei Apple išradimas, nei ką. Jei po teisybei tai su šiuo išradimu taip pat ganėtinai neaišku. Yra patentas „Method for authorizing in data transmission systems“ priklausantis Kim Schmitz, pateiktas dar 1998 balandį ir patvirtintas 2000 birželį. Yra AT&T patentas patektas 1995 metais ir patvirtintas 1998 sausį, pavadinimu „Automated method for alerting a customer than a transaction is being initiated and for authorizing the transaction based on a confirmation/approval by the customer thereto“. Dėl šių patentų būta ir teisminių kovų. Bet dabar ne apie tai.
            Aš tik bandau įsivaizduoti saugų ir patikimą būdą (patikimas, kuris veikia bet kokioje galimoje situacijoje) į visiškai naują įrenginį pateikti patikros kodui, kai nėra kitų susietų su paskyra įrenginių arba galimybės naudoti kitus įrenginius (kompiuterius ir panašiai) ir tai niekaip nesusiję nei su Apple nei su kuo nors kitu. Kas link saugumo, tai žinoma, kuo didesnė/sudėtingesnė ir labiau kompleksinė apsaugos sistema - tuo saugiau ir daugeliu atvejų sveikintina. Aš matau šio principo problemą tame, kad gali būti kritinių atvejų kai šis būdas taps kliūtimi, gal būt neįveikiama net it teisėtam vartotojui.

            Dėl slaptažodžių išgaravimo iš galvos, tai čia tikriausiai nuo galvos priklauso. Maniškiai 8-12 (kai kurie 14) simbolių, paskyrų ir paslaugų, kurioms naudojamos tos paskyros slaptažodžiai skirtingi ir aš juos prisimenu visus. Gal čia profesinis dalykas, nes prisimenu net ne savo, prieš 15 metų galiojusius slaptažodžius. Gali būti, kad „treniruočių“ rezultatas: daug metų dirbau įmonėje, kurioje buvo begalybė sistemų ir jų slaptažodžių, tame tarpe ir naudojant SecurID. Tie slaptažodžiai turėdavo būti keičiami kas 40 dienų, negalėdavo kartotis 48 mėnesius, slaptažodyje negalėdavo būti žodžių (tame tarpe vardo pavardės įmonės pavadinimo) ištraukų , iš eilės einančių skaičių ar raidžių, turėjo būti ne trumpesni nei 8 simboliai, kai kurie būdavo sistemos generuojami atsitiktiniai. Tikriausiai supranti, kad esant tokiems reikalavimams apie slaptažodžių užsirašymą kalbos ir būti negalėjo. Pvz. mano vardas Ramūnas, tad slaptažodyje negalėjau naudoti ram r@m, amu, mun, nas, n@s, na5, n@5 ir taip toliau sekų, todėl jie paprastai būdavo kokie nors Za@1~&o3L-7m. Pradžioje buvo sunku, bet su laiku... „ir šuo kariamas pripranta“ :), o kai slaptažodžiai asmeniniai ir jų nereikia keisti taip dažnai - sugalvojus tinkamą sistemą galima atsiminti.

  6. Vienu zodziu aple bando nusimesti visa kalte, kad tipo tai vartotoju kalte. Kai turbut vos ne visos internrto paslaugu seniausiai perejo prie tel. numerio pririsimo ir t.t.

  7. As isvis nesuprantu, kam jus diskutuojat visi apie tai :) Visu pirma, kas sukure, tas ir apeis. Visu antra, tai vartotoju buku neapsaugos net apple nei kas kitas.

    O kad kazkoks hackeris nulauze apple, tai saunu. Nes tada yra kur tobuleti. Kas zino kiek kartu perlauztas MS ar google :)

    Vistiek apple islieka saugiausiu telefonu vartotojams.

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*