Naakte beroemdheden en de “iCloud hack”

I was young and I needed the money!.

I was young and I needed the money!.

Het zal je niet zijn ontgaan, de afgelopen dagen stonden kranten vol met het nieuws dat persoonlijke foto’s van verschillende beroemdheden naar buiten zijn gekomen. Waaronder dit stuk in Metro. Sommige volledig gekleed middels een ‘spiegel selfie’ tot meer expliciete afbeeldingen. Onder de slachtoffers bevindt zich Jennifer Lawrence, Ariana Grande en Kate Upton. Mijn collega Rik Ferguson schreef naar aanleiding van dit nieuws een interessante blogpost die ik graag wil delen. Want zoals duidelijk mag zijn is het klikken op links naar ‘naked celebrity’ foto’s of het opnemen van  e-mailbijlages op dit moment een bijzonder slecht idee. Je kan er op wachten dat criminelen hier namelijk handig op inspelen. 

De eerste beelden verschenen op de website 4chan. De auteurs beweren nog veel meer materiaal (foto en video) beschikbaar te hebben, dat gestolen is via iCloud accounts en verkocht wordt aan de hoogste bieder. Uiteraard hebben deze foto’s ook gezorgd voor een stortvloed aan valse afbeeldingen, maar roept het ook de vraag op onder zowel iCloud-gebruikers als een ieder ander die zijn informatie graag privé wil houden…. Is mijn cloud-opslag veilig?

Een ‘hack’ van Apple’s iCloud van dergelijke schaal lijkt onwaarschijnlijk. Het feit dat bepaalde beroemdheden hierbij betrokken zijn en de aard van het gestolen materiaal, maakt dat dit een veel gerichtere aanval lijkt te zijn. Hoe heeft dit dus kunnen gebeuren?

  1. Het zou kunnen maar het is het minst waarschijnlijk dat de getroffen beroemdheden een zwak en makkelijk te raden wachtwoorden hadden. De hacker heeft gewoon wat geprobeerd en vervolgens ingelogd.
  2. Indien de hacker het iCloud e-mailadres van het slachtoffer al wist, konden zij gebruik maken van de link ‘I forgot my password’, in de veronderstelling dat het slachtoffer voor iCloud geen gebruik maakt van two-factor authenticatie. Zonder two-factor authenticatie wordt voor het resetten van het wachtwoord een traditionele ‘security vraag’ gebruikt. Het gevaar voor deze beroemdheden is dat veel van hun persoonlijke informatie al op het internet te vinden is en een vraag als ‘de naam van mijn eerste huisdier’ voor hen dus wel minder geheim is dan van minder bekende mensen.
  3. De hacker heeft ingebroken in een ander connected account met een zwakkere beveiliging of wachtwoord, bijvoorbeeld een webmail account dat gebruikt is om wachtwoorden te ontvangen van geresette e-mails, verstuurd door iCloud.
  4. Hergebruik van wachtwoorden. Veel mensen gebruiken hetzelfde wachtwoord voor meerdere diensten en worden getroffen door dergelijke high-profile lekken. Wanneer je zoekt naar diensten van gestolen inloggegevens, ontdek je dat het aantal gegevens die online worden aangeboden flink is gestegen. Op hetzelfde moment is de prijs van de gestolen gegevens gedaald door overaanbod. Als het slachtoffer ook hetzelfde wachtwoord voor iCloud gebruikt, of enigszins aangepast, opent dat de deuren naar iCloud.
  5. Phishing is een oude methode, maar nog steeds effectief. Een gerichte phishing mail waarin mensen worden verleid hun iCloud-gegevens in te voeren op een valse inlogpagina, zou namelijk zet zo goed werken als een complexe hack.

Wat kunnen we hiervan leren?
Sta het toe wanneer een online dienst de mogelijkheden biedt de veiligheid te verhogen. Sta het toe wanneer een online dienst de mogelijkheden biedt de veiligheid te verhogen. Zelfs als je het idee hebt dat two-factor authenticatie onhandiger is bij het inloggen weegt het niet op tegen de gevolgen die het kan hebben.

Gebruik wachtwoorden niet meerdere keren. Het is nooit een goed idee om hetzelfde wachtwoord voor meerdere websites of diensten te hanteren, dus gebruik voor elke website een uniek wachtwoord of gebruik een Password Manager.

Denk er altijd aan bij de vraag die je gebruikt voor het resetten van een wachtwoord of het antwoord echt veilig is. Veilig betekent niets anders dan dat jij de enige bent die het antwoord weet. Is er een mogelijkheid om zelf een vraag te formuleren? Doe dat dan vooral. Moet je een antwoord geven op de standaard vragen, vergeet dan niet dat het antwoord niet altijd waar hoeft te zijn, het moet alleen iets zijn dat je kunt onthouden.

‘Delete’ betekent niet altijd ‘delete’, zoals een aantal van de slachtoffers ontdekten. Zorg ervoor dat je bekend en vertrouwd bent met de online diensten die je gebruikt en zoek uit of er back-ups of schaduwkopieën worden gemaakt en hoe deze worden beheerd. In het geval van de hack op beroemdheden lijkt het erop dat sommige slachtoffers dachten dat het verwijderen van de foto’s voldoende was. Mogelijk zijn zij Apple’s Photo Stream vergeten.

O ja, nog één ding: stop met het maken van naaktfoto’s.

Lees de originele blogpost van Rik Ferguson hier.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.