Утечки из «облака»: как себя защитить?

На днях произошла самая громкая утечка личных данных знаменитостей за последние годы: в Сеть попали сотни мегабайт пикантного фото- и видеоматериала с участием звезд шоу-бизнеса. Почему это произошло и как с этим бороться?

Последние выходные лета ознаменовались новостью, мгновенно поднявшей на уши весь Интернет: некие анонимные хакеры (впрочем, есть мнение, что это был один человек) раздобыли и выложили в Сеть фотографии обнаженных знаменитостей, включая голливудскую актрису Дженнифер Лоуренс. Конечно, подобные «сливы» случались и ранее, но в данном случае особой пикантности ситуации придало то, что некоторые утекшие снимки, вероятно, были похищены прямиком из аккаунтов знаменитостей в облачном хранилище Apple iCloud. Как же так получилось и что нужно сделать, чтобы не попасть в подобную ситуацию?

Почему произошла утечка

Официальных комментариев касательно истинных причин утечки личных фотовидеоархивов звезд пока что не поступало, да и вряд ли они будут обнародованы в ближайшее время. Однако есть основания полагать, что несанкционированный доступ к ряду аккаунтов знаменитостей стал возможен благодаря банальному брутфорсу, то есть подбору пароля методом перебора. Конечно, сервис iCloud и другие подобные интернет-ресурсы защищены от брутфорса, но, как показывает история, всегда можно найти лазейку. Собственно, в случае с iCloud именно так и могло произойти: если пытаться «достучаться» до хранилища при помощи сервиса Find My iPhone, то ограничения на количество и частоту попыток ввода пары «логин-пароль» можно легко обойти, получая таким образом возможность подбирать секретное слово сколь угодно долго. Именно это, судя по всему, и было сделано злоумышленниками, которые использовали для брутфорса специальную программу, свободно доступную на сайте GitHub.

Таким вот простым перебором при помощи скрипта злоумышленники могут получить доступ к вашему защищенному слабым паролем аккаунту

Судя по тому, в каком количестве и как быстро хакерами был раздобыт доступ к аккаунтам, многие знаменитости использовали не очень сложные пароли и явно игнорировали двухфакторную аутентификацию, доступную как владельцам аккаунтов Google, так и всем пользователям iCloud.

Истинная причина подобных утечек — это не уязвимости в системах защиты данных, а игнорирование пользователями простейших правил цифровой безопасности

К счастью, уже 1 сентября дыра в защите облачного сервиса Apple была устранена, в результате чего несколько неудачных попыток ввода пароля, в том числе при помощи скрипта, приводили к блокировке атакуемого аккаунта. Представители компании при этом никаких комментариев касательно уязвимостей в iCloud не дали, ограничившись лишь общими словами про «серьезное отношение к конфиденциальности пользователей» и сообщив о проходящем расследовании инцидента.

Кстати, это не первый случай, когда злоумышленники атакуют владельцев девайсов Apple, используя для этого возможности iCloud и Find My iPhone. Весной этого года стало известно о том, что заблокированный при помощи Find My iPhone смартфон можно легко разблокировать, не вводя никаких паролей и кодов, а летом ряд пользователей облачного сервиса столкнулись с тем, что их устройства внезапно оказались заблокированы, а на экране появлялось сообщение с требованием выкупа за разблокировку.

ОБНОВЛЕНИЕ от 03.09: Apple опубликовала официальный пресс-релиз, посвященный утечке. В нем представители компании фактически признали тот факт, что некоторые фотографии были украдены из iCloud-аккаунтов, но не подтвердили слухи о том, что несанкционированный доступ к ним был получен вследствие каких-либо уязвимостей. Кража содержимого, если верить документу, была осуществлена посредством целенаправленных атак на логины, пароли и секретные вопросы. Кроме того, Apple подчеркнула, что будет и дальше участвовать в поиске виновных.
В своем заявлении компания еще раз подчеркивает необходимость использования двухфакторной аутентификации, но появилась информация, что в данном случае эта защита не могла бы сработать, поскольку при восстановлении данных из iCloud на новое устройство или при помощи специальной программы одноразовый пароль не запрашивается.

Как защитить свои данные

Если подумать, то истинная причина утечки — это не уязвимость в системах безопасности онлайн-хранилищ, а недостаточно серьезное отношение владельцев слитых фотографий и видео к защите своих данных. Мы привыкли доверять своим устройствам и облачным сервисам, напрочь забыв о том, что даже самая крепкая дверь беззащитна перед взломщиками, если на ней нет надежного замка. Этого же мнения придерживается и Кристиан Функ, старший антивирусный эксперт «Лаборатории Касперского», давший семь советов о том, как защитить себя и свои данные от любых утечек:

  1. Защищайте свои аккаунты только сложными паролями, не используйте при этом один и тот же пароль для разных сервисов.
  2. Установите на свои устройства надежное защитное ПО: защитив доступ к вашему смартфону, планшету и компьютеру, вы тем самым защитите доступ к своим аккаунтам и, в частности, к облачным хранилищам.
  3. Обязательно используйте двухфакторную аутентификацию, если она доступна (инструкция для пользователей Apple и Google).
  4. Дважды задумывайтесь перед тем, как выгружаете ваши данные в облачное хранилище. Помните: ценную информацию, связанную с работой или личной жизнью, НИ В КОЕМ СЛУЧАЕ не стоит хранить в «облаке».
  5. Мобильное устройство очень легко потерять, поэтому не стоит хранить в нем информацию, утечка которой стала бы для вас проблемой. Если же вам необходимо хранить ценные данные в памяти девайса, позаботьтесь о том, чтобы они были надежно зашифрованы.
  6. Многие устройства автоматически сохраняют в «облаке» то, что попадает в их память, особенно это касается фотографий и видеороликов. Так что всегда будьте в курсе, что, как и куда сохраняет ваш гаджет.
  7. Не стоит отдавать кому-то свое устройство или даже просто пересылать свои фото, если вы не уверены в том, что этот человек не станет жертвой взлома или намеренно не устроит «слив» ваших данных.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.