| 31 авг 2014 — 7:58 вечера по тихоокеанскому времени
В интернете циркулирует множество сообщений о том, что произошла утечка бесчисленных личных фотографий знаменитостей (нет, мы не будем давать на них ссылки), и — на данный момент необоснованные — слухи утверждают, что кто-то обнаружил уязвимость в платформе iCloud от Apple и использовал ее для получения изображений. Среди знаменитостей, которых, как сообщается, затронуло это, — Дженнифер Лоуренс, Кейт Аптон, Аврил Лавин, Мэри Элизабет Уинстед, Мэри-Кейт Олсен, Хилари Дафф и многие другие.
Новости об утечке изображений впервые начали распространяться на ветке 4chan /b/ ранее сегодня, где многие пользователи утверждали, что утечка стала результатом злонамеренного использования iCloud и мобильных телефонов различных знаменитостей как минимум одним человеком. Сообщения на 4chan также утверждают, что хакер приобрел видео и намерен продать их TMZ за шестизначные суммы. Конечно, большая часть этой информации поступает с анонимной доски 4chan, поэтому относитесь к ней с большой долей скептициса.
Но факт остается фактом: эти личные фотографии определенно циркулируют, и многие знаменитости обратились в Twitter, чтобы, казалось бы, подтвердить, что по крайней мере некоторые из них действительно подлинные. Наиболее заметно, что Мэри Уинстед говорит, что может только представить «жуткие усилия», которые были приложены к этим утечкам.
https://twitter.com/M_E_Winstead/status/506197725285998592
https://twitter.com/M_E_Winstead/status/506198161811992576
Photo Stream автоматически синхронизирует фотографии с iCloud по мере их создания, но пока неизвестно, как хакер — если он действительно смог взломать iCloud — получил так много фотографий разных знаменитостей из стольких аккаунтов. Мэри Уинстед упоминает, что слитые фотографии ее работ были удалены «давно», что поднимает еще больше вопросов, в том числе о том, действительно ли удаленная фотография iCloud когда-либо удаляется. Но это, конечно, предполагает, что проблема именно в iCloud.
Как многие отметили, пытаясь доказать, что iCloud не является источником этих интимных фотографий, видео не работают с My Photo Stream. Можно, начиная с iOS 7, загружать их в общие потоки (и, следовательно, в iCloud), и, возможно, что более важно, iCloud также будет загружать их в облако при выполнении полной резервной копии устройства. Доступ к учетной записи iCloud означал бы, что хакер мог бы фактически восстановить учетную запись на стертом телефоне.
Некоторые знаменитости сообщили, что они даже не используют iPhone, что заставляет большинство полагать, что хакер получил эти файлы из нескольких источников (что, вероятно, и так верно) или что какой-то другой облачный сервис может быть настоящим виновником. Возможно, более интересно то, что некоторые знаменитости, а именно Триша Хершбергер, доказали, что их интимные фотографии на самом деле поддельные, и, по совпадению, они не используют iPhone.
Hey Ahole claiming to have iCloud leaked nudes of me a) I use #Android & b) you’re missing my vampire bite moles! pic.twitter.com/1ZMzUjtCTl
— Trisha Hershberger (@thatgrltrish) 1 сентября 2014 г.
Мы обратились в Apple за комментарием по поводу ситуации. А пока это хорошее время, чтобы напомнить вам включить двухфакторную аутентификацию в своей учетной записи iCloud.
Пока что это все еще спекуляции, что iCloud вообще как-то связан, но обнаруженная уязвимость в Find My iPhone могла позволить хакерам подобрать пароли к учетным записям, перебирая огромное количество паролей, соответствующих критериям Apple. Чтобы этот метод атаки сработал, учетные записи соответствующих знаменитостей должны были иметь относительно слабые пароли. Но поскольку многие знаменитости знают друг друга и имеют контакты других знаменитостей в своих адресных книгах, возможно, что данные контактов могли быть использованы для идентификации адресов электронной почты других учетных записей, фактически создавая «цепочку» взломов.
Программа, названная «iBrute» и использующая уязвимость, которая теперь исправлена и позволяла программе угадывать неограниченное количество паролей без блокировки, не была напрямую связана ни с одной атакой на iCloud. Но упомянутая уязвимость безопасности, которую она использовала, стала известна и была исправлена в тот же день, что и утечка бесчисленных личных фотографий знаменитостей, так что совпадение времени, безусловно, несколько необычно.
Обновление 2: Apple выпустила заявление для Re/code, в котором говорится, что они «активно расследуют», была ли iCloud на самом деле вовлечена в утечку личных изображений. «Мы очень серьезно относимся к конфиденциальности пользователей и активно расследуем это сообщение», — заявила Натали Керрис, представитель Apple.
Обновление 3: Как отметил Mashable, программа iBrute была выпущена всего за три дня до утечки первой фотографии знаменитости, что могло быть недостаточно времени для эксплуатации этой конкретной уязвимости в такой степени, чтобы слить сотни интимных фотографий знаменитостей. 30 августа Андрей Беленко и Алексей Трошичев, исследователи безопасности из viaForensics и HackApp соответственно, представили подробный отчет (ссылка на слайды презентации) на Defcon Russia о состоянии безопасности iCloud, а iBrute был их концепцией.
В презентации viaForensics фактически излагается, как Find My iPhone — это не единственная уязвимость безопасности. Предположительно, хакеры могли бы угадать код безопасности iCloud пользователя офлайн, что, следовательно, не вызвало бы механизм блокировки, аналогичный тому, который отсутствовал в Find My iPhone.
В контексте того, как это относится к рассматриваемой проблеме, исправление уязвимости iBrute Find My iPhone этим утром могло быть просто результатом этого обсуждения безопасности и не иметь никакого отношения к слитым изображениям.
Обновление 4: Актриса Кирстен Данст, по-видимому, приписывает утечку своих фотографий iCloud.
Thank you iCloud🍕💩
— Kirsten Dunst (@kirstendunst) 1 сентября 2014 г.
Обновление 5: ФБР США расследует предполагаемый взлом iCloud, по словам представителя ФБР (через The Telegraph):
[ФБР] осведомлено о предполагаемых компьютерных вторжениях и незаконном распространении материалов с участием высокопоставленных лиц и занимается этим вопросом. Любые дальнейшие комментарии в настоящее время были бы неуместны.
Обновление 6: Apple отрицает, что iCloud был фактически взломан, и заявляет, что это была «очень целенаправленная атака» на определенных знаменитостей.