iWant

Choulostivé fotografie celebrit unikly údajně kvůli iCloudu, Apple situaci zkoumá

iWant

iCloud hack iBrute

Včera v brzkých ranních hodinách se na internetovém fóru 4chan objevilo velké množství choulostivých fotografií známých celebrit, mezi kterými byla například Jennifer Lawrence, Kate Upton nebo Kaley Cuoco. Soukromé snímky i videa získal hacker z účtů poškozených osob, což samo o sobě nemá s Applem zjevnou spojitost, nicméně útočník údajně využil bezpečnostní chyby v iCloudu, aby se k fotografiím dostal.

Doposud nebylo potvrzeno, zda fotografie pochází přímo z Photo Streamu, nebo jen útočník využil iCloud k získání hesel k daným účtům, nicméně na vině je dost možná chyba v jedné z internetových služeb Applu, jež umožnila získat heslo metodou brute force, tedy hrubou silou hádáním hesla. Podle serveru The Next Web hacker využil zranitelnosti Find My iPhone, která umožnila neomezené hádání hesla, aniž by účet po určitém počtu neúspěšných pokusů zablokovala.

Stačilo pak použít specializovaný software iBrute, jenž vyvinuli ruští bezpečností výzkumníci jako demonstraci během konference v St. Petersburgu a dali ho k dispozici na portál GitHub. Software pak metodou pokus-omyl dokázal prolomit heslo k danému Apple ID. Jakmile měl útočník přístup k e-mailu a heslu, mohl snadno stáhnout fotografie z Photo Streamu nebo získat přístup k e-mailové stránce oběti. Původní zprávy hovořily o tom, že fotky byly získány z nabourání úložiště fotografií Applu, mnohé z uniklých fotografií však nebyly zjevně foceny iPhonem a u mnohých chyběly údaje EXIF. Je tak možné, že část fotografií pochází spíše z e-mailů celebrit.

Apple během dne zmíněnou zranitelnost opravil a prostřednictvím své tiskové mluvčí sdělil, že celou situaci prošetřuje. Skutečný způsob, jakým se hacker nebo skupina hackerů dostala k intimním fotografiím hereček a modelek, se pravděpodobně dozvíme až za několik dní. Celebrity ke své škodě bohužel údajně nepoužívaly dvoustupňové ověření, které by jinak zabránilo k přístupu k účtu pouze s heslem, útočník by totiž musel uhodnout náhodný čtyřmístný kód, čímž by se šance na prolomení účtů značně minimalizovala.

Zdroj: Re/code