iCloud
Последние выходные лета ознаменовались новостью, мгновенно поднявшей на уши весь Интернет: некие анонимные хакеры (впрочем, есть мнение, что это был один человек) раздобыли и выложили в Сеть фотографии обнаженных знаменитостей, включая голливудскую актрису Дженнифер Лоуренс. Конечно, подобные «сливы» случались и ранее, но в данном случае особой пикантности ситуации придало то, что некоторые утекшие снимки, вероятно, были похищены прямиком из аккаунтов знаменитостей в облачном хранилище Apple iCloud. Как же так получилось и что нужно сделать, чтобы не попасть в подобную ситуацию?
Почему произошла утечка
Официальных комментариев касательно истинных причин утечки личных фотовидеоархивов звезд пока что не поступало, да и вряд ли они будут обнародованы в ближайшее время. Однако есть основания полагать, что несанкционированный доступ к ряду аккаунтов знаменитостей стал возможен благодаря банальному брутфорсу, то есть подбору пароля методом перебора. Конечно, сервис iCloud и другие подобные интернет-ресурсы защищены от брутфорса, но, как показывает история, всегда можно найти лазейку. Собственно, в случае с iCloud именно так и могло произойти: если пытаться «достучаться» до хранилища при помощи сервиса Find My iPhone, то ограничения на количество и частоту попыток ввода пары «логин-пароль» можно легко обойти, получая таким образом возможность подбирать секретное слово сколь угодно долго. Именно это, судя по всему, и было сделано злоумышленниками, которые использовали для брутфорса специальную программу, свободно доступную на сайте GitHub.
Таким вот простым перебором при помощи скрипта злоумышленники могут получить доступ к вашему защищенному слабым паролем аккаунту
Судя по тому, в каком количестве и как быстро хакерами был раздобыт доступ к аккаунтам, многие знаменитости использовали не очень сложные пароли и явно игнорировали двухфакторную аутентификацию, доступную как владельцам аккаунтов Google, так и всем пользователям iCloud.
К счастью, уже 1 сентября дыра в защите облачного сервиса Apple была устранена, в результате чего несколько неудачных попыток ввода пароля, в том числе при помощи скрипта, приводили к блокировке атакуемого аккаунта. Представители компании при этом никаких комментариев касательно уязвимостей в iCloud не дали, ограничившись лишь общими словами про «серьезное отношение к конфиденциальности пользователей» и сообщив о проходящем расследовании инцидента.
Кстати, это не первый случай, когда злоумышленники атакуют владельцев девайсов Apple, используя для этого возможности iCloud и Find My iPhone. Весной этого года стало известно о том, что заблокированный при помощи Find My iPhone смартфон можно легко разблокировать, не вводя никаких паролей и кодов, а летом ряд пользователей облачного сервиса столкнулись с тем, что их устройства внезапно оказались заблокированы, а на экране появлялось сообщение с требованием выкупа за разблокировку.
ОБНОВЛЕНИЕ от 03.09: Apple опубликовала официальный пресс-релиз, посвященный утечке. В нем представители компании фактически признали тот факт, что некоторые фотографии были украдены из iCloud-аккаунтов, но не подтвердили слухи о том, что несанкционированный доступ к ним был получен вследствие каких-либо уязвимостей. Кража содержимого, если верить документу, была осуществлена посредством целенаправленных атак на логины, пароли и секретные вопросы. Кроме того, Apple подчеркнула, что будет и дальше участвовать в поиске виновных.
В своем заявлении компания еще раз подчеркивает необходимость использования двухфакторной аутентификации, но появилась информация, что в данном случае эта защита не могла бы сработать, поскольку при восстановлении данных из iCloud на новое устройство или при помощи специальной программы одноразовый пароль не запрашивается.
7 советов от экспертов «Лаборатории Касперского» по защите интимных фотографий и других личных данных в «облаке».
Tweet
Как защитить свои данные
Если подумать, то истинная причина утечки — это не уязвимость в системах безопасности онлайн-хранилищ, а недостаточно серьезное отношение владельцев слитых фотографий и видео к защите своих данных. Мы привыкли доверять своим устройствам и облачным сервисам, напрочь забыв о том, что даже самая крепкая дверь беззащитна перед взломщиками, если на ней нет надежного замка. Этого же мнения придерживается и Кристиан Функ, старший антивирусный эксперт «Лаборатории Касперского», давший семь советов о том, как защитить себя и свои данные от любых утечек:
- Защищайте свои аккаунты только сложными паролями, не используйте при этом один и тот же пароль для разных сервисов.
- Установите на свои устройства надежное защитное ПО: защитив доступ к вашему смартфону, планшету и компьютеру, вы тем самым защитите доступ к своим аккаунтам и, в частности, к облачным хранилищам.
- Обязательно используйте двухфакторную аутентификацию, если она доступна (инструкция для пользователей Apple и Google).
- Дважды задумывайтесь перед тем, как выгружаете ваши данные в облачное хранилище. Помните: ценную информацию, связанную с работой или личной жизнью, НИ В КОЕМ СЛУЧАЕ не стоит хранить в «облаке».
- Мобильное устройство очень легко потерять, поэтому не стоит хранить в нем информацию, утечка которой стала бы для вас проблемой. Если же вам необходимо хранить ценные данные в памяти девайса, позаботьтесь о том, чтобы они были надежно зашифрованы.
- Многие устройства автоматически сохраняют в «облаке» то, что попадает в их память, особенно это касается фотографий и видеороликов. Так что всегда будьте в курсе, что, как и куда сохраняет ваш гаджет.
- Не стоит отдавать кому-то свое устройство или даже просто пересылать свои фото, если вы не уверены в том, что этот человек не станет жертвой взлома или намеренно не устроит «слив» ваших данных.
Everybody is blaming #Apple for celebrities pictures #leak. This option set to off would help to prevent it. pic.twitter.com/NiYNn7EBFo
— Dmitry Bestuzhev (@dimitribest) September 2, 2014
