Современные папарацци - охотники за персональными данными - используют методы получения приватных фотографий намного более продвинутые нежели просто подкараулить жертву за углом с фотоаппаратом наперевес. На помощь им приходят уязвимости персональных данных. Ни для кого не секрет, что миллионы аккаунтов взламываются ежедневно, а персональная информация - утекает словно песок сквозь пальцы защитных барьеров (подробнее об этом - в нашей статье). А теперь на секунду представим, что утекающий песок персональных данных - золотой. Расплата за славу и богатство богатых и знаменитостей. Естественно, что за такими данными будут охотиться не просто случайные хакеры, а настоящие старатели, переместившиеся из Фриско поближе к холмам Голливуда. Те, кто поддерживает паранойю селебритиз на традиционно критично-высоком уровне.
В 2014 случилась массовая утечка частных фото, а скандал, связанный с этим событием получил название Целебгейтский (Celeb Gate) - по аналогии с Уотергейтским скандалом, стоившим в свое время Ричарду Никсону поста президента США.
Что ломали
Сервис Apple Cloud
Методология взлома
Хакеры воспользовались уязвимости сервиса “Найти мой iPhone” устройств, связанной с учетной записью пользователя. Именно в данном сервисе была отключена защита в виде блокировки аккаунта в случае, если попытка входа осуществляется множество раз.
Несмотря на то, что основной сервис iCloud был защищен, уязвимость удалось найти в связанном с ним сервисе Find my iPhone. Зачастую разработчики, защищая основную систему не уделяют должного внимания вспомогательным, забывая про то что основное правило безопасности гласит “уровень безопасности комплексной системы определяется уровнем безопасности самой слабой из ее частей”.
Хакеры воспользовались достаточно простым скриптом (подобным скриптом, опубликованным в виде концепта является iBRUTE, написанный на Python). И осуществили атаку методом перебора паролей. Стоит отметить, что пароли, которые удалось подобрать, были достаточно “слабыми” с точки зрения безопасности - использовались достаточно распространенные слова, а сами пароли были зачастую не достаточно длинными.
Итог
Украденные изображения были анонимно выложены в сеть. Несмотря на то, что атака продлилась всего пару дней, пострадало около 300 миллионов пользователей iCloud. Среди них были Дженифер Лоуренс, Кирстен Данст, Леа Мишель и многие другие звезды.
Неизвестно, сколько по времени злоумышленники знали о об этой уязвимости и пользовались ей, но легкость эксплуатации в определенный момент привела к массовому взлому.
Генеральный директор Apple Тим Кук вынужден был приносить публичные извинения, а сам инцидент не лучшим образом сказался на репутации и финансах компании - скандал случился незадолго до старта продаж iPhone 6 серии.
Как обычному пользователю защитить себя от подобных рисков Мы расскажем в новой серии статей.
