Technologie

iCloud-hack: wat er is gebeurd en hoe u uzelf kunt beschermen

Bron: Apple.com

In het weekend zouden naar verluidt talloze naaktfoto's van beroemdheden uit de A-lijst zijn gestolen van iCloud-accounts en via internet verspreid. Dus hoe kon iemand toegang krijgen tot de accounts op de cloudopslagdienst van Apple, en wat kunt u doen om uw eigen bestanden te beschermen tegen een soortgelijke inbreuk?

De Wall Street Journal's Daisuke Wakabayashi meldt dat Apple ' actief onderzoeken ”Meldt dat iCloud-kwetsbaarheden werden misbruikt om de accounts van verschillende beroemdheden te hacken. Naakte foto's en video's, sommige authentiek en sommige mogelijk nep, werden naar verluidt gestolen uit de iCloud-accounts van beroemdheden, waaronder actrice Jennifer Lawrence en model Kate Upton, en gepost op 4chan. Van daaruit hebben ze zich verspreid naar Twitter, Reddit, Imgur en andere sites, waarvan er vele de threads en accounts hebben afgesloten waarop de afbeeldingen zijn gepost.

hoeveel super bowls heeft roger staubach gewonnen?

Appels iCloud stelt gebruikers in staat om muziek, foto's, documenten en andere bestanden in de iCloud op te slaan en deze vanaf verschillende apparaten te openen. In een bericht op GitHub beschrijft een gebruiker een bug die is ontdekt in de Find My iPhone-service van Apple - een iCloud-functie waarmee gebruikers de locatie van een ontbrekende iPhone kunnen achterhalen - waardoor een hacker een onbeperkt aantal gissingen kon doen naar een iCloud-wachtwoord totdat u de juiste hebt geïdentificeerd. Het GitHub-bericht bevatte ook een Python-script genaamd 'ibrute' waarmee gebruikers zogenaamde 'brute force' -aanvallen konden uitvoeren om toegang te krijgen tot accounts op iCloud via de Find My iPhone-kwetsbaarheid.

Brute-force-aanvallen gebruiken een script om herhaaldelijk het wachtwoord van een account te raden, en zodra het wachtwoord is ontdekt, kan de hacker het gebruiken om toegang te krijgen tot andere iCloud-functionaliteit. De ibrute-tool is gebaseerd op een lijst met 500 veelgebruikte wachtwoorden (en is dus afhankelijk van iCloud-accounthouders die gemakkelijk te raden wachtwoorden gebruiken).

Het volgende web meldt dat Twitter-gebruikers de tool konden gebruiken, die twee dagen was gepubliceerd voordat deze werd gedeeld HackerNews om toegang te krijgen tot hun eigen accounts Het GitHub-bericht is maandag bijgewerkt met de boodschap: 'Het einde van de lol, Apple heeft zojuist een patch.' Bij het testen van de tool, Het volgende web ontdekte dat Apple het account na vijf pogingen vergrendelde, wat betekent dat het Python-script de service probeert aan te vallen, maar Apple heeft inderdaad de kwetsbaarheid gepatcht.

nettowaarde van floyd mayweather jr

De Find My iPhone-kwetsbaarheid die onbeperkte gissingen toestond, wijkt af van het beleid van de meeste services, dat een account vergrendelt na een aantal onjuiste wachtwoordpogingen. Personeel van Het volgende web sprak via Twitter met de maker van het Python-script, bekend als 'Hackapp'. Re / Code meldt dat iBrute is gemaakt door Russische veiligheidsonderzoekers als een proof of concept en deze zomer is gedemonstreerd op een veiligheidsconferentie.) Het volgende web vroeg of de tool had kunnen worden gebruikt bij het hacken van accounts van beroemdheden. Degene die achter het Twitter-account van Hackapp zit, antwoordde: 'Ik heb nog geen bewijs gezien, maar ik geef toe dat iemand deze tool zou kunnen gebruiken.'

Hoewel Apple niets heeft gezegd over hoe het hacken van de accounts van beroemdheden werd uitgevoerd, vertelde Securosis-analist en CEO Rich Mogull aan De Wall Street Journal dat het mogelijk is dat het hacken en de kwetsbaarheid die op GitHub werd blootgelegd, verband hielden. Hij zegt ook dat het veel waarschijnlijker is dat hackers inbraken in de individuele accounts van beroemdheden in plaats van het iCloud-systeem te hacken. Mogull zei: 'Ik zou geschokt zijn dat Apple zelf is gehackt.'

Ongeacht of het iBrute-script werd gebruikt in het lek, vertelden onderzoekers van beveiligingsbedrijf FireEye Re / Code's Arik Hesseldahl dat het hacken een ongecompliceerde aanval lijkt te zijn geweest had kunnen worden voorkomen Concreet had het hacken kunnen worden voorkomen als de getroffen beroemdheden een beveiligingsfunctie hadden ingeschakeld die tweefactorauthenticatie wordt genoemd op hun iCloud-accounts.

Tweefactorauthenticatie, of 'tweestapsverificatie', zoals Apple de versie noemt, vereist twee stappen om de identiteit te verifiëren van een gebruiker die toegang probeert te krijgen tot een computer of een dienst, zelfs als die gebruiker het accountwachtwoord kent. In het geval van iCloud moet een gebruiker voor het inschakelen van tweestapsverificatie een numerieke code invoeren die naar zijn telefoon of een ander apparaat is gestuurd om zijn identiteit te verifiëren, naast het invoeren van zijn gewone wachtwoord. Omdat de code voortdurend verandert, maakt het mogelijk maken van tweestapsverificatie het voor een hacker aanzienlijk moeilijker om toegang te krijgen tot een account.

Terwijl Apple 'niet erg hard werkt', zoals Re / Code stelt het, om gebruikers te informeren over de beschikbaarheid van beveiligingsfuncties zoals tweestapsverificatie, legt een pagina op zijn ondersteuningswebsite het proces uit van het inschakelen van de functie voor een Apple ID. Volg deze stappen om tweestapsverificatie in te schakelen:

hoeveel geld heeft muhammad ali?

Ga naar Mijn Apple ID
Selecteer 'Beheer uw Apple ID' en log in.
Selecteer 'Wachtwoord en beveiliging'.
Selecteer onder 'Tweestapsverificatie' de optie 'Aan de slag' en volg de instructies.

Bron: Support.apple.com

Bij het instellen van tweestapsverificatie registreren gebruikers een of meer apparaten waarop ze viercijferige verificatiecodes kunnen ontvangen via sms-berichten of de Find My iPhone-service. (Apple vereist dat gebruikers ten minste één telefoonnummer voor sms opgeven.) Nadat de functie is ingeschakeld, wordt gebruikers gevraagd om hun identiteit te verifiëren wanneer ze inloggen om hun Apple ID te beheren of om een iTunes-, App Store- of iBooks-account te maken. Bewaar aankopen van een nieuw apparaat door hun wachtwoord en een viercijferige verificatiecode in te voeren. Zonder zowel het wachtwoord als de verificatiecode hebben gebruikers geen toegang tot hun accounts.

Het is vermeldenswaard dat het altijd een goed idee is om te profiteren van de beschikbare beveiligingsfuncties om uw bestanden en accounts te beschermen, maar de hack is ook een waarschuwend verhaal over het gebruik van slechte wachtwoorden. Als de hack werd uitgevoerd met behulp van het ibrute Python-script, gebruikte elk van de beroemdheden wiens accounts werden blootgesteld een van de 500 veelgebruikte, gemakkelijk te raden wachtwoorden die de tool probeert. (Dus als uw wachtwoord ‘wachtwoord’ of ‘123456’ is, is hier nog een andere reden voor het kiezen van iets dat moeilijker te achterhalen is voor een computer.) Zelfs als iemand uw wachtwoord kan raden, zorgt het inschakelen van tweestapsverificatie ervoor dat uw account en bestanden veiliger, omdat een hacker geen toegang heeft tot uw e-mails of sms-berichten.

Het resultaat is dat het belangrijk is om uw gegevens te beschermen met een sterk, veilig wachtwoord dat niet gemakkelijk door een script kan worden geraden, en dat als u een cloudservice gebruikt om waardevolle bestanden op te slaan, dit in uw beste belang is. authenticatie in twee stappen om uw account zo veilig mogelijk te houden. Het is ook slim om toegangscodes en wachtwoorden op uw telefoon en computer in te schakelen, en natuurlijk om ervoor te zorgen dat al uw software is bijgewerkt. Elk van deze maatregelen houdt uw accounts veiliger en geeft u een beetje meer gemoedsrust dat alle bestanden die u uploadt naar iCloud, beschermd zijn tegen nieuwsgierige blikken.