'Wachtwoorden iCloud-accounts waren via brute-force-aanval te achterhalen'

Het zou mogelijk zijn geweest om een brute-force-aanval uit te voeren op een iCloud-account via de Find My iPhone-dienst van Apple. Het bedrijf bleek op die dienst geen bescherming tegen brute-force-aanvallen te hebben ingebouwd.

Afgelopen weekend verscheen een Python-script online waarmee het mogelijk was om de brute-force-aanvallen uit te voeren, ontdekte The Next Web als eerste. Dat kwam doordat de api van de Find My iPhone-dienst bescherming tegen brute-force-aanvallen ontbeerde. Inmiddels heeft Apple het beveiligingsprobleem opgelost. Een test van Tweakers wijst uit dat een aanval nu na circa dertig pogingen wordt afgeslagen. Het aangevallen iCloud-account wordt dan op slot gezet.

Bij brute-force-aanvallen probeert een aanvaller een groot aantal wachtwoorden geautomatiseerd uit. Hoewel de kwetsbaarheid zich bevond in de Find My iPhone-dienst van Apple, zou een aanvaller met het achterhaalde wachtwoord vervolgens kunnen inloggen op andere diensten van Apple, zoals iCloud. Het is niet bekend hoe lang het beveiligingsprobleem precies bestond.

Een aanvaller zou dan toegang tot iemands persoonlijke bestanden kunnen krijgen, zelfs als hij of zij two factor authentication heeft ingeschakeld. Daarbij moet iemand bij het inloggen niet alleen een wachtwoord invoeren, maar ook een code die wordt verzonden per sms of door een app wordt gegenereerd. Vorig jaar ontdekte een beveiligingsonderzoeker dat het protocol van Apple dat wordt gebruikt voor iCloud-backups geen ondersteuning voor two factor authentication heeft: een aanvaller zou die backups dus met enkel een wachtwoord kunnen achterhalen. Er is zelfs een tool op de markt die dat automatiseert.

De kwetsbaarheid in Find My iPhone komt aan het licht op het moment dat naaktfoto's van meerdere celebrities, waaronder Jennifer Lawrence, Kate Upton en Selena Gomez, op internet zijn verschenen, schrijft onder andere BBC. Het gerucht gaat dat die foto's zijn buitgemaakt uit iCloud, maar dat is nog niet bevestigd. Het is dus niet bekend of er een verband bestaat met de kwetsbaarheid.

Lek Find My iPhone

IT-banen

Reacties (239)

Biersteker 1 september 2014 16:43

Woohoo naaktfotos van celebs uit hun iCloud

.

Ik maak me een stuk meer zorgen over andere data , (contacts? , zakelijke documenten, contracten etc) Maar dat aspect van dit datalek blijft angstig onderbelicht.

Boxman @Biersteker • 1 september 2014 18:08

Alle accounts moesten los gebruteforced worden. Een groep hackers-for-the-lulz is uit op iets wat het internet op zijn kop zet en waar snel veel geld mee te verdienen is. Bijvoorbeeld celeb nudes (je ziet het resultaat). Aan random contracten en zakelijke contacten hebben ze niks, want daar hebben ze ook geen uitgesproken doelwitten voor.

Met de hele selfie-mania en Apple-hype bij celebrities, heb je een makkleijk en trefzeker doelwit, waar 90% daadwerkelijk naaktfoto's op hun iPhone zal hebben staan.

Contacten zijn al lang niet meer geheim tegenwoordig, en zakelijke documenten en contracten zul je er niet vinden.

Biersteker @Boxman • 1 september 2014 18:18

Wat ik bedoel te zeggen is , dat naakt foto's niet de meest spannende of waardevolle data zal zijn die buitgemaakt is.

ApexAlpha @Boxman • 1 september 2014 18:39

Het script heeft een tijd lang online gestaan en gewerkt. (langer dan mag bij zo een groot bedrijf). Er zullen vast mensen zijn die op zoek zijn gegaan naar waardevolle spullen zoals foto's van pasjes, ID's, et cetera...

434365 1 september 2014 14:45

Komen ze daar nou pas achter? hadden we niet een maand of 2 geleden al dat 2 scholiertjes in Australie allerij telefoons hadden 'geransomwared' via deze zelfde route? Wat toen nog krampachtig onder het tapijt gemoffeld werd als "deze gebruikers hadden slechte wachtwoorden"??

Een van die artikelen uit Mei:
http://www.engadget.com/2...ndom-find-my-iphone-hack/

Carbon @434365 • 1 september 2014 15:00

at toen nog krampachtig onder het tapijt gemoffeld werd als "deze gebruikers hadden slechte wachtwoorden"??

'slechte' wachtwoorden zijn wel de reden waarom brute-force attacks vaak succesvol zijn!

Wat toen nog krampachtig onder het tapijt gemoffeld werd als "deze gebruikers hadden slechte wachtwoorden"??

Nergens in het artikel wordt (laat staan krampachtig) gesproken over 'slechte' wachtwoorden!

Volgens het artikel hadden de hackers toegang gekregen omdat de betroffen gebruikers hetzelfde wachtwoord voor andere gehackte diensten hadden gebruikt.

[Reactie gewijzigd door Carbon op 23 juli 2024 02:45]

434365 @Carbon • 1 september 2014 15:01

Dat is wel weer waar ja

3x3 1 september 2014 14:38

Dit is héél zuur voor de slachtoffers.
Zeker bij Apple verwacht je toch dat je gegevens veilig zijn.

Ik begin steeds minder overtuigd te zijn van de cloud:

Als er echt nood is, is de data in bezit van een ander, niet van jou.
Inlichtingdiensten, informeren jou niet, maar het bedrijf (dat jou niet mag informeren) als ze jouw data doorzoeken.
Er zijn gratis aanbieders die je moet toestaan, al jouw data te mogen gebruiken.
Schijnbaar is het nu ook hackbaar.

Data niet slechts via het internet, maar zelf fysiek bezitten is een erg fijne gedachte.

Anoniem: 154887 @3x3 • 1 september 2014 14:44

Waarom zou Apple het beter geregeld hebben dan andere bedrijven? Ik heb al voor een pak multinationals projecten gedaan, en het is bedroevend gesteld.

Bvb is het zo dat bijna geen enkele site van onze grote Europese Instellingen waar onze gegevens bewaard worden beveiligd zijn tegen brute force attacks. Samen met het feit dat de admin accounts bijna altijd 'admin' of 'administrator' heten, vraag je hier om problemen.

BillyTheClit @Anoniem: 154887 • 1 september 2014 15:22

Waarom zou Apple het beter geregeld hebben dan andere bedrijven?

Enerzijds omdat Apple graag uitpakt met het aspect veiligheid en anderzijds omdat hun producten een flink stuk duurder zijn dan die van de concurrentie.

Franckey @BillyTheClit • 2 september 2014 01:18

Beide punten zijn waar, maar daarom denk ik niet dat Apple de beveiliging beter geregeld heeft dan concurrenten.

Bij beveiliging is het ook vaak een afweging met gebruiksvriendelijkheid. Die twee gaan niet altijd samen. Bijv het afdwingen van lange lastige wachtwoorden of het tijdelijk blokkeren van een account bij een paar keer een verkeerd wachtwoord.

gabba25 @Anoniem: 154887 • 1 september 2014 15:38

Mja ik snap je +3 niet. Ergens heb je wel een punt, maar omdat het bij andere slecht is geregeld, is dit niet erg? Omdat het ergens in een api per ongeluk niet is verwerkt, is het gewoon een FOUT, omdat het wel op andere onderdelen zit ingebakken

DaemonAngel @Anoniem: 154887 • 1 september 2014 15:20

Klopt, ik denk dat het EU pattent office het enige is dat goed beveiligd is.

klaw @3x3 • 1 september 2014 14:42

Om eerlijk te zijn vertrouwde ik al geen cloud van het begin.
Ik heb zelf bewust niets in een cloud gezet. Behalve sommige savegames van steam, maar als iemand mijn EU4 savegames kopieert, veel plezier ermee...

Vraag me af wat er met degene die de boel heeft verspreid gebeurt als hij gepakt word.

[Reactie gewijzigd door klaw op 23 juli 2024 02:45]

3x3 @klaw • 1 september 2014 14:48

Vraag me af wat er met degene die de boel heeft verspreid gebeurt als hij gepakt word.

Dit:

Christopher Chaney was sentenced to10 yearss in jail Monday, Dec. 17 for hacking into personal online accounts of Scarlett Johansson, Mila Kunis, Christina Aguilera, Vanessa Hudgens and others.

Chaney, 35, pleaded guilty to nine felony counts that included unauthorized access to a computer and wiretapping of more than 50 people in the entertainment industry between November 2010 and October 2011, the New York Daily News reports.

As a result of his hacking, nude photos of Johansson, 28, surfaced online in September 2011; Johansson later explained that the resurfaced old snaps had been taken for her then-husband Ryan Reynolds, whom she divorced in late 2010.
[bron]

10 jaar de cel in, is vrij lang.

[Reactie gewijzigd door 3x3 op 23 juli 2024 02:45]

VirinR @3x3 • 1 september 2014 15:09

Nu zijn er veel meer naaktfoto's gelekt op 4chan. Kijk maar eens op http://i.imgur.com/Cyq4r5z.png (Met dank aan BuzzFeed voor de link).

Toch moet er gezegd worden dat niet alle foto's echt zijn. Zo heeft Victoria Justice getweet:

These so called nudes of me are FAKE people. Let me nip this in the bud right now. *pun intended*

Ook heeft het management van Ariana Grande bevestigd dat de foto's nep zijn.
Toch heeft het management van Jennifer Lawrence bevestigd dat haar foto's 'echt' zijn.

Er zijn dus twee kanten aan het verhaal maar ze hebben allemaal het verband van iCloud.

[Reactie gewijzigd door VirinR op 23 juli 2024 02:45]

Thalent @VirinR • 1 september 2014 17:06

Weet je wat ik denk? Ik denk dat er maar één kant van het verhaal is en dat alle foto's gewoon echt zijn. Ik zou ook nep roepen om de schade proberen te beperken.

Anoniem: 145867 @Thalent • 1 september 2014 18:31

Verschillende analyse tools zijn al over de foto's gehaald. Het is geen fotoshop of iets dergelijk. Ze zijn allemaal echt.

VirinR @Thalent • 1 september 2014 20:59

Victoria Justice heeft wel het volgende geretweet van een fan:

GUYD WE ARE SO STUPID THE VICTORIA JUSTICE NUDES ARE FAKE, LOOK. CLEARLY AN OLD PICTURE OF HER EDITED & FLIPPED.

In de tweet zie je duidelijk dat er een oude foto is gebruikt..

[Reactie gewijzigd door VirinR op 23 juli 2024 02:45]

434365 @klaw • 1 september 2014 14:48

Ik draai bscly zelf een "cloud" (eigenlijk gewoon een NAS die ik ook vanaf het internet kan bezoeken) om diezelfde reden, ik zit er niet zo op te wachten dat m'n bestanden maar een beetje her en der over het internet zweven, en niemand goed weet wie er nou precies bij kan.

Dan liever maar iets minder veilig ('als mn huis afbrand' zijn mn bestanden waarschijnlijk ook verloren, nou jammer dan)

[Reactie gewijzigd door 434365 op 23 juli 2024 02:45]

johnkeates @434365 • 1 september 2014 17:48

Een cloud is niet een netwerkmap... een cloud is een geautomatiseerd systeem van servers die content regelen waarvan je nooit weet waar wat staat om dat dat dynamisch en automatisch verandert. Als er een of meerdere servers uitvallen heeft de cloud er geen last van.

Als je NAS uitvalt dan heb je.. niks. Als je naar een andere locatie gaat is er niet een PoP die jou een betere verbinding gaat geven. Als je moet opschalen, dan kan dat niet.

Voor veel doeleinden heb je geen cloud nodig, maar de meeste mensen zijn gewoon te 'dom', ofwel, onwetend en te lui om te leren wat je nou eigenlijk willen en nodig hebben. De meeste mensen weten niet precies hoe ze digitaal iets van A naar B krijgen, dus gebruiken ze een of andere dienst, "als het maar werkt", zonder er verder bij na te denken.

434365 @johnkeates • 1 september 2014 18:37

Vandaar dat ik "cloud" riep, en niet cloud (laten we wel wezen, voor de gemiddelde persoon betekend cloud gewoon "dat het online staat", ik besef me verder wel dat dit geen cloud is, maar de gemiddelde persoon vind mijn oplossing ook een cloud)

De stelling dat als er een of meerdere servers uitvallen de cloud er geen last van heeft is trouwens niet helemaal juist, je verward een cloud service met mirroring service. Nou is het gelukkig wel zo dat alle grote cloud providers daar een mirroring service overheen gieten, maar blijft nog steeds het feit dat het kan gebeuren dat je je data niet kan vinden in de cloud omdat er een server(park) uit ligt.

johnkeates @434365 • 1 september 2014 22:31

Een eigenschap van een cloud is dat alles overal *kan* zijn, en vaak tegelijkertijd op twee plekken is, dat zou het misschien dat duidelijker uitdrukken. Dat alle cloud services wel failover hebben betekent inderdaad niet dat er direct van mirroring gesproken kan worden (misschien op storage level).

PdeBie @434365 • 1 september 2014 14:52

Daar zou je nog eventueel een off-site backup voor kunnen laten lopen. Dan heb je in ieder geval je data nog

Anoniem: 390382 @3x3 • 1 september 2014 14:47

Het is inderdaad naïef om te veronderstellen dat je data vellig is in een cloud omgeving. Alles is hackbaar. Het is wel zo dat je binnen de iCloud omgeving kunt aangeven welke data je opslaat. Kwestie van vinkje aan of uit zetten. Dit geldt ook voor de Find My iPad/iPhone/Mac voorziening.

En af en toe je wachtwoord wijzigen kan ook geen kwaad.

[Reactie gewijzigd door Anoniem: 390382 op 23 juli 2024 02:45]

Relief2009 @3x3 • 1 september 2014 15:05

Er is dit idee dat alles van Apple van een hoge kwaliteit zou zijn. Beveiliging is niet Apple's sterkste punt.

shytah 1 september 2014 14:46

Ik verbaas me er nog steeds over dat er mensen zijn die dit soort gevoelige informatie in de cloud bewaren, vooral wanneer je bekend bent ben je natuurlijk een doelwit voor Jan en alleman.

Mochten deze gegevens zijn bemachtigd doormiddels van het bruteforcen van deze accounts dan is dit uiteraard ook erg slordig van Apple.

Hoe geweldig het ook klinkt om overal toegang te hebben tot je data, of desnoods je wachtwoorden doormiddel van iCloud Keychain, ik begin er niet meer aan.

gabba25 @shytah • 1 september 2014 15:43

Volgens mij hebben de meeste Celebs niet eens in de gaten dat hun foto's automatisch worden opgeslagen in iCloud

Ikke_Niels 1 september 2014 14:36

Beetje een open deur: maar het verbaasd me wel enorm dat ze niet een timeout hebben ingesteld als je na bv 10-25 keer je wachtwoord verkeerd intypt...
Goed dat ze het inmiddels hebben opgelost...

[Reactie gewijzigd door Ikke_Niels op 23 juli 2024 02:45]

michaelkamen

@Ikke_Niels • 1 september 2014 14:52

Wij hadden dat ooit ingebouwd in een web-applicatie voor een onderwijsinstelling.
Na een maand werd gevraagd of het wilden uitzetten, aangezien studenten het leuk vonden hiermee de accounts van docenten te blokkeren...

Barryke @michaelkamen • 1 september 2014 15:05

Ook hier is een betere oplossing rate limiting ipv een account uitzetten/blokkeren. Ik neem aan dat dit laatste alleen als "werkbare tussen oplossing" bedoeld is en vervangen gaat worden door rate limiting zodat het zelfherstellend wordt.

[Reactie gewijzigd door Barryke op 23 juli 2024 02:45]

BillyTheClit @michaelkamen • 1 september 2014 15:09

Precies dat dacht ik ook. Je kan - afgaand op de informatie in het artikel - een DOS-attack-achtige aanval doen door regelmatig een 30-tal foute paswoorden naar iemands iCloud account te sturen.

Anoniem: 561095 @Ikke_Niels • 1 september 2014 14:46

Lekker dan, dan kan je iemand pesten door opzettelijk z'n account te blokkeren. Ook niet erg handig.

PdeBie @Anoniem: 561095 • 1 september 2014 14:53

Je hoeft het account niet te blokkeren. Je kan ook requests vanaf dat IP adres blokkeren (al wordt dat IP adres ook gewoon 'gespoofed')

Anoniem: 125509 @PdeBie • 1 september 2014 15:47

Brute force attacks worden vaak uitgevoerd door botnets die vanaf een adres een paar pogingen doen en daarna de bal doorspelen naar de volgende bot. Daarom werkt het blocken op ip in de praktijk vaak niet echt goed meer.

Accounts blokkeren (voor bepaalde tijd) zorgt ervoor dat hacken te lang gaat duren.

PdeBie @Anoniem: 125509 • 1 september 2014 15:51

Maar als je dus een gruwelijke hekel aan een bepaald persoon hebt, kan je die gebruiker dus flink 'pesten' door zijn account met regelmaat te blokkeren. Weet niet of dat nou echt een oplossing is.

Anoniem: 125509 @PdeBie • 1 september 2014 16:40

Digitaal pesten werkt volgens mij inderdaad vaak wel op die manier. Ik denk dat er niet echt een *goede* oplossing tegen bestaat.

HenkEisDS @PdeBie • 2 september 2014 00:36

Als je iemand wilt pesten en toegang hebt tot een botnet dan zijn er vast effectievere methoden dan iemand zijn icloud blokkeren.

watercoolertje @PdeBie • 1 september 2014 15:20

Met een gespoofd adres kan je dus alsnog iemand pesten

PdeBie @watercoolertje • 1 september 2014 15:44

Ja dat zeg ik ook. Dat IP adres zal waarschijnlijk niet het echte IP adres van de 'pester' zijn, dus heeft het blokkeren van IP adres weinig zin.

SidewalkSuper @Ikke_Niels • 1 september 2014 14:40

Het was een kwetsbaarheid in een api, niet in "de voordeur". Zoals het in het artikel hierboven staat lijkt het alsof je op de website oneindig wachtwoorden kon invoeren.
De website had dat probleem inderdaad niet.

[Reactie gewijzigd door SidewalkSuper op 23 juli 2024 02:45]

downcom @Ikke_Niels • 1 september 2014 14:41

Het is van een bedrijf als Apple toch wel te verwachten dat ze captable genoeg zijn om hier een juiste beveiling neer te zetten. Helemaal als je iCloud probeerd te promoten..

Helemaal met het nieuwe event wat geplant staat over een maand... Bijzonder slechte timing.

[Reactie gewijzigd door downcom op 23 juli 2024 02:45]

ronaldmathies @downcom • 1 september 2014 14:44

Het ging net om de website, een capt ha toevoegen op een api heeft niet zoveel zin.

Brummetje

@ronaldmathies • 1 september 2014 14:46

captcha niet... x aantal requests per minuut etc zeker wel

En ja dan kan een bruteforce nog steeds maar dan duurt het te lang (als je een goed wachtwoord hebt) om het de moeite waard te maken voor de hackers.

jaapzb @Brummetje • 1 september 2014 15:31

Je kan ook gewoon zeggen tegen de client die zo vaak met een fout wachtwoord probeert the authenticeren dat hij er mee moet kappen en hem een bepaalde tijd van de API weren. Is niet heel moeilijk.

Beter is nog een combinatie van de twee.

[Reactie gewijzigd door jaapzb op 23 juli 2024 02:45]

Brummetje

@jaapzb • 1 september 2014 16:05

Helemaal waar... Punt is natuurlijk dat er genoeg oplossing zijn om de beveiliging te verbeteren.

Remy89 @downcom • 1 september 2014 15:53

Een maand? Volgende week al!

Anoniem: 80466 @Anoniem: 501293 • 1 september 2014 17:32

Ach, 1 lek en heel de wereld ligt wakker maar Windows heeft wel duizend lekken, helemaal in de nieuwe internet explorer.

Er zijn juist relatief weinig lekken in Internet Explorer.
Ze komen wel vaak groot in de publiciteit maar qua aantallen is het weing ten opzicht van bijvoorbeeld een browser als Firefox of Safari.
Safari was bijvoorbeeld jarenlang de makkelijst te hacken browser op de pwn2own hackwedstrijd.

TweakMac

@Anoniem: 80466 • 1 september 2014 20:42

Maar ik ken geen enkele Mac-gebruiker van wie zijn Mac is gehackt.

Fordox @TweakMac • 2 september 2014 08:27

Macbook zegt: "Fuck You"

Anoniem: 125509 @Anoniem: 80466 • 2 september 2014 07:30

Er zijn juist relatief weinig lekken in Internet Explorer.

Maar gek genoeg lijkt elk lek wel Acht Uur Journaal waardig om een of andere reden. Dan raden direct diverse diensten het gebruik van IE tijdelijk af.

Anoniem: 501293 @Anoniem: 80466 • 2 september 2014 10:43

Vindt je? Misschien zijn de aantallen helemaal niet bekend. Ik zie dat het gebruik van een OS als een religie is, je kan het namelijk interpeteren zoals je zelf wilt. De "hack" trucjes komen bij een gebruiker anders over dan iemand die verstand heeft van computers. Neem een voorbeeld dat icloud zogenaamd gehackte is. Het is gewoon een api die op "Find my iPhone" werkt en niet icloud zelf. Aan leken wordt dit heel anders uitgelegd dan het daadwerkelijk is.

Het voorbeeld wat jij noemt geeft bij mij vraagtekens, zo ook op die hack conferentie. Wat valt onder gehacked zijn? Dat vertellen ze namelijk niet. Wat waren de instellingen van de browsers en wat was het object? Etc etc

kritischelezer 1 september 2014 15:03

De vraag komt nu naar boven, bij het wissen van info in de cloud, of dit wel echt weg is. Ik las een comment:
Mary E. Winstead @M_E_Winstead

Knowing those photos were deleted long ago, I can only imagine the creepy effort that went into this. Feeling for everyone who got hacked.

two factor authentication heeft natuurlijk alleen maar nut, als alle beheer logins op een server dat hebben, inclusief beheer ingangen en servers die weer toegang geven tot die icloud servers. Dit is eigenlijk niet te beveiligen, want ook een beheerder kan getroffen worden en via zijn of haar beheersysteem kan er weer de icloud server benadert worden OF een beheerder kan nieuwsgierig zijn

De enige ¨veilige¨ manier is data encrypted opslaan, waarbij de key niet in handen is van de opslag verlener, daarnaast moet die encrypty sterk zijn en dit brengt weer gebruikersongemak met zich mee.

FreshMaker @kritischelezer • 1 september 2014 15:35

De vraag komt nu naar boven, bij het wissen van info in de cloud, of dit wel echt weg is. Ik las een comment:
Mary E. Winstead @M_E_Winstead

Knowing those photos were deleted long ago, I can only imagine the creepy effort that went into this. Feeling for everyone who got hacked.

Nee natuurlijk is "delete" niet 100% weg.
De cloud aanbieder heeft een bewaarplicht, en zal dus de originele bestanden een bepaalde periode "in archief" moeten houden ( ivm opsporings diensten )
Anders zou het voor veel criminelen wel eenvoudig worden om hun onschuld te blijven volhouden.

De vraag is eigenlijk HOELANG blijft het in archief ( kennelijk dus oneindig lang helaas voor haar )

[Reactie gewijzigd door FreshMaker op 23 juli 2024 02:45]

Anoniem: 120693 @FreshMaker • 1 september 2014 15:58

De cloud aanbieder heeft een bewaarplicht, en zal dus de originele bestanden een bepaalde periode "in archief" moeten houden ( ivm opsporings diensten )
Anders zou het voor veel criminelen wel eenvoudig worden om hun onschuld te blijven volhouden.

Er bestaat in de US en in Europa geen bewaarplicht voor cloud storage aanbieders die veplicht alle ooit geuploade bestanden voor een bepaalde tijd te bewaren. Sommige hebben wel opties in die richting maar dat is voor de gebruikers, niet de overheden.

Als jij je dropbox account opzet mag dropbox meteen alle files verwijderen (en dat doen ze dus ook).

FreshMaker @Anoniem: 120693 • 1 september 2014 16:05

Als jij je dropbox account opzet mag dropbox meteen alle files verwijderen (en dat doen ze dus ook).

Verklaar je dan deze actie eens ?

3 maanden geleden verwijderd .... zojuist hersteld ....

http://i1052.photobucket....01_160348_zps95don3k4.jpg

edit :
En ik ben niet alleen ...

http://www.reddit.com/r/p...nently_deleted_files_for/

[Reactie gewijzigd door FreshMaker op 23 juli 2024 02:45]

kritischelezer @FreshMaker • 1 september 2014 17:21

dat onderstreept mijn aanname dat de hacker niet via accounts van gebruikers binnenkwam, maar ¨hogere¨ rechten heeft... Dit omdat een bekende dame die getroffen is door deze hack aangaf de foto´s lang geleden al gewist te hebben.

Theoretisch kan het zijn dat de hacker al heel lang toegang heeft, maar ik vermoed een hack op een andere laag...

FreshMaker @kritischelezer • 1 september 2014 18:01

En toch vlak ik niet uit dat veel van de slachtoffers de boel willen downplayen.

Verschillende angstige reactie's met "oude foto's" of dit ben ik niet ....
ik denk dat een groot deel wel fake kan zijn, maar (helaas) zijn er best veel erg goede 'overeenkomsten'

Het nickelodeon-starletje dat al gelijk over fake begon, moet toch nog eens vergelijken ( ik kende haar verder niet )

kritischelezer @FreshMaker • 1 september 2014 18:41

ja nu zijn ze aan het downplayen en bij een eventuele claim aan het upplayen... zo werkt dat

FreshMaker @kritischelezer • 1 september 2014 18:43

Toch vond ik het jammer dat Emma Watson er niet tussen zat ...

http://i.imgur.com/SnF525E.jpg

Maar ze deed het goed

kritischelezer @FreshMaker • 1 september 2014 15:42

Maar iemand die via het normale account ¨binnen komt¨ kan niet in de trash bin kijken van de server. Ik neem aan dat delete in de cloud voor de gebruiker het bestand weg is, al is het alleen al om weer ruimte te hebben voor andere files wanneer de cloud vol raakt.

Een interessante kwestie

FreshMaker @kritischelezer • 1 september 2014 15:56

Dat vond ik ook al opvallend inderdaad.

Onze netwerkservice heeft ook een delete functie, 3 in totaal .. ( eigenlijk zelfs 5

)
gebruiker delete -> trash
trash empty -> trash = leeg ( voor de gebruiker -> zijn quota is weer open )
admin trash delete -> bestanden worden volledig verwijderd ( maar staan in de daily / weekly en soms zelfs in de monthly -> al geven we dat niet aan bij de users

)

SidewalkSuper @kritischelezer • 1 september 2014 15:09

Alle data is in dit geval ook gewoon encrypted opgeslagen. Een beheerder kan helemaal niks uithalen zonder de wachtwoorden van de specifieke Apple ID's.

Veel waarschijnlijker is dat er al een hele tijd toegang was tot dit Apple ID.

DennusB 1 september 2014 14:44

Wat ik mis... is het lek nu gedicht?
Edit : Door het zelf te testen zie ik dat het nu dicht zit!

[Reactie gewijzigd door DennusB op 23 juli 2024 02:45]

MAX3400 @DennusB • 1 september 2014 14:47

Inmiddels heeft Apple het beveiligingsprobleem opgelost.

ruurd v. @DennusB • 1 september 2014 14:48

Dat staat vermeld in de eerste alinea: ja

Anoniem: 154887 @DennusB • 1 september 2014 14:48

Inmiddels heeft Apple het beveiligingsprobleem opgelost. Een test van Tweakers wijst uit dat een aanval nu na circa dertig pogingen wordt afgeslagen. Het aangevallen iCloud-account wordt dan op slot gezet.

pinna_be @DennusB • 1 september 2014 14:49

uit het artikel

Inmiddels heeft Apple het beveiligingsprobleem opgelost. Een test van Tweakers wijst uit dat een aanval nu na circa dertig pogingen wordt afgeslagen. Het aangevallen iCloud-account wordt dan op slot gezet.

dus ja, het lek is nu gedicht.

Rixos 1 september 2014 14:39

Knap lullig, gaat een mooie rechtzaak voor ze worden denk ik.
Ben ook benieuwd wat degene gaat krijgen die de foto's gelekt heeft.
Zal me niks verbazen als hier met gemak 10 jaar voor wordt uitgedeeld in de VS.

MAX3400 @Rixos • 1 september 2014 14:41

http://uk.eonline.com/new...ced-to-10-years-in-prison -> 10 jaar voor het lekken van foto's van 2 bekende personen.

Rixos @MAX3400 • 1 september 2014 14:42

Misschien nog maar 10 jaartjes bij optellen in dit geval dan

jay123 @MAX3400 • 1 september 2014 15:44

Jessica Alba, Christina Aguilera, Demi Lovato, Miley Cyrus, Selena Gomez, Ali Larter, Busy Philips, Emma Caufield, Renee Olstead and Addison Timlin .....

Bij deze emails had hij ook "computervredebreuk" gepleegd, en aangezien dat in de states de strafmaat gewoon opgeteld wordt, niet zoals bij ons.

Edit: We mogen hackers niet meer zeggen : bron: tweakers

[Reactie gewijzigd door jay123 op 23 juli 2024 02:45]

WokeBroke @Rixos • 1 september 2014 14:44

Dat zal een lastige rechtszaak worden, gezien de wachtwoorden waarschijnlijk redelijk zwak geweest zullen zijn. Ik neem niet aan dat er 7 of meer karakters met vijver, hoofdletter en een teken gebruteforced zullen zijn.

Proxx @WokeBroke • 1 september 2014 15:24

dus omdat de wachtwoorden niet moeilijk zijn is het gerechtvaardigd om jezelf toegang te verschaffen?

dus als iemand mijn 256bit wachtwoord bruteforced krijgt hij 10maal levenslang.
bijvoorbeeld: 9E2B5B548E590E7E5A230CCA91E5F5C2623D4EE7C8E9CA22DA965E50226692DF

denk het niet.

Collaborator @Rixos • 1 september 2014 14:43

10 jaar kreeg de vorige hacker al voor de foto's van enkele personen. Dit gaat om honderden fotos van tientallen personen. Als ze hem ooit pakken weet ik zeker dat hij en hele hoge straf krijgt (al is het al om een voorbeeld te stellen)

MiesvanderLippe @Collaborator • 1 september 2014 17:55

Moet je maar net hopen dat de NSA 1) die data toevallig heeft onderschept op TOR wat ze tot nu toe alleen gericht doen 2) ze die kunnen/willen/mogen verstrekken in een rechtzaak van dit niveau.

Livecrew011 1 september 2014 14:38

''Het bedrijf bleek op die dienst geen bescherming tegen brute force-aanvallen te hebben ingebouwd.''

Dan mogen ze eens even haarfijn gaan uitleggen waarom ze dat (bewust?) niet hebben gedaan.
Ik zie een nieuwe rechtzaak tegen apple aan komen, en dit keer niet vanuit samsung

monojack @Livecrew011 • 1 september 2014 15:12

Ik denk dat je het in een rechtszaak niet hard kan maken vermits celebrities net als gewone mensen de EULA niet lezen en dus wel een akkoord hebben gegeven dat Apple niet verantwoordelijk is voor zulke zaken.

Anoniem: 14038 @monojack • 1 september 2014 15:41

Celebs hebben centjes voor hele dure en vooral sluwe advocaten. Daar kom je in de VS heel ver mee.
Als die celebs allemaal geen apples meer gaan gebruiken is er ook nog een flinke reputatieschade. Maar iets zegt me dat het niet zover zal komen en Apple met een mea culpa komt.

Carbon @Anoniem: 14038 • 1 september 2014 17:57

Celebs hebben centjes voor hele dure en vooral sluwe advocaten. Daar kom je in de VS heel ver mee.

Gezien de inhoud van sommige foto's denk ik niet dat de betroffen celebs zitten te wachten op de extra publicteit die een rechtzaak me zich meebrengt.

Anoniem: 145867 @Anoniem: 14038 • 1 september 2014 18:29

Helemaal nu Apple straks met hun nieuwe iPhone naar buiten komt met veel diepere iCloud integratie. Dit kan behoorlijke imago schade creëren. Dit zal Apple zeker voelen in hun iPhone 6 verkopen.

gabba25 @monojack • 1 september 2014 15:33

Wo dat is wel heel kort door de bocht. Er bestaat ook nog iets als nalatigheid. Ik heb al mijn wachtwoorden opgeslagen in keychain. Als deze op straat komen, had ik de eula maar moeten lezen?

jay123 @gabba25 • 1 september 2014 15:41

Zo dekken ze (en bedrijven in het algemeen) hen inderdaad in. Als je er niet mee akkoord zou zijn, moet je hun diensten maar niet gebruiken is dan het antwoord.

Fly-guy

@jay123 • 1 september 2014 15:48

In ons land kan een EULA nooit boven de wet staan en kan nalatigheid alsnog reden voor vervolging zijn, ondanks alle mooie praatjes in die EULA.

Eswip @Fly-guy • 1 september 2014 15:58

Dat neemt niet weg dat bewijzen van nalatigheid in deze situatie wel heel lastig is.. Ik verwacht dan ook niet dat een rechter slachtoffers gelijk gaat geven en Apple opdraagt een vergoeding te betalen.

Anoniem: 80466 @Eswip • 1 september 2014 17:35

Dat neemt niet weg dat bewijzen van nalatigheid in deze situatie wel heel lastig is.

Het toestaan van brute forcen op een wachtwoord API is op zichzelf al nalatig te noemen.
Wat moet je verder nog bewijzen dan?
Dat Apple wachtwoorden toestaat die qua lengte makkelijk te brute forcen zijn bijvoorbeeld?

Eswip @Anoniem: 80466 • 1 september 2014 17:56

Dus als ik een website zou bouwen waarbij ik geen bruteforce check inbouw, en op die manier kunnen hackers een wachtwoord achterhalen en gebruiken op andere websites, dan ben ik nalatig en dus moet ik betalen?? Ik gok dat er dan heel veel websites een groot probleem hebben.. (waaronder waarschijnlijk tweakers)

Anoniem: 80466 @Eswip • 1 september 2014 18:13

Je bent dan potentieel aansprakelijk voor de schade van de gebruikers die via jouw website kan ontstaan. Niet voor de schade via andere websites. Daar is dan de gebruiker weer zelf voor verantwoordelijk door te kiezen voor identieke wachtwoorden.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 02:45]

RobbieB @Anoniem: 80466 • 2 september 2014 00:06

Dus 8 tekens, met minimaal een hoofdletter en een getal zijn:
26+26+10 = 62
62^8 = 218340105584896 mogelijkheden.

Dat is met een brute force (over het internet notabene) echt niet makkelijk....

Social engineering is veel logischer aangezien van beroemdheden bijna alles wel te achterhalen is.

Fly-guy

@Eswip • 1 september 2014 16:06

In de VS gelden natuurlijk sowieso heel andere regels en wetten. Daarentegen worden personen en bedrijven vaak ook verantwoordelijk gehouden in zaken waarvan wij zouden zeggen dat er eigenlijk helemaal geen zaak is.

Anoniem: 80466 @Fly-guy • 1 september 2014 17:45

In ons land kan een EULA nooit boven de wet staan en kan nalatigheid alsnog reden voor vervolging zijn

In Nederland kan grove nalatigheid altijd een aansprakelijkheid opleveren, ook zelfs tussen 2 professionele partijen.

Bij consumentrecht is eigelijk vrijwel elke beperking van de aansprakelijk tegen de wet. Algemene voorwaarden worden juist minder waard als daar illegale aansprakelijjheids uitsluitingen instaan

Fly-guy

@Anoniem: 80466 • 1 september 2014 18:16

Dat is dus wat ik zeg..

Anoniem: 80466 @Fly-guy • 2 september 2014 09:32

Jij zij dat een eula nooit boven de wet kan staan maar dat is niet waar.
In een overeenkomst tussen proffessiionals kun je wel degelijk afwijken van wettelijke regelingen ook via een eula.

PdeBie @monojack • 1 september 2014 15:46

Dus als er in de EULA staat, je bent zelf verantwoordelijk voor alle data die je erop zet, dan heb je het daar maar mee te doen? Waarom dan nog beveiligen? De gebruiker is tenslotte verantwoordelijk voor wat hij erop zet.

Anoniem: 154887 @Livecrew011 • 1 september 2014 14:41

''Het bedrijf bleek op die dienst geen bescherming tegen brute force-aanvallen te hebben ingebouwd.''

Dan mogen ze eens even haarfijn gaan uitleggen waarom ze dat (bewust?) niet hebben gedaan.
Ik zie een nieuwe rechtzaak tegen apple aan komen, en dit keer niet vanuit samsung

Niet overdrijven he... Zolang er geen credit card gegevens of andere sensitieve data opstaat welke moet voldoen aan bvb PCI of SOX, kan je Apple hierom niet aanklagen.

PdeBie @Anoniem: 154887 • 1 september 2014 14:48

Toch, gezien het feit dat er aardig wat naaktfotografie naar buiten is gekomen, kan Apple hier een redelijke claim voor verwachten.

Natuurlijk, je kiest er zelf voor om die naaktfoto's te maken en (al dan niet automatisch) op iCloud te zetten. Dat doet er niet aan af dat de beveiliging wel degelijk te wensen over heeft gelaten.

Anoniem: 145867 @Anoniem: 154887 • 1 september 2014 18:27

Heel veel beroemdheden uit Amerika staan nu volledig naakt op internet. En het zijn geen simpel "naakte" foto's. Heel veel zijn ook met beschaamtelijke situaties.

En die beroemdheden hebben nogal wat geld en gaan denk ik Apple en de persoon die dit gedaan hebben met z'n allen wel aanklagen hoor.
Jij hebt zeker nog niet gezien wat er allemaal buit is gemaakt. Dit gaat nog een lang staartje krijgen.

Anoniem: 415197 @Livecrew011 • 2 september 2014 09:45

Aan de andere kant: nu kun je een willekeurig persoon lastig vallen door zijn of haar account te laten blokkeren.

vali 1 september 2014 14:42

Ik vind het wel heel erg dat Apple zo slecht naar buiten communiceert, een excuus had ik op zijn minst wel verwacht. Tevens vraag ik mij echt af of ze hun security afdeling wel goed te werk gaat op de test afdeling. Niet zo gek lang geleden kwam hun ssl-bug in het nieuws en niet te vergeten hun wifi-hotspot. Dit zijn toch wel hele erge security fouten met grote gevolgen.

[Reactie gewijzigd door vali op 23 juli 2024 02:45]

RobbieB @vali • 1 september 2014 14:53

Apple gaat hier zeker wel op reageren (ze moeten wel bij een dergelijk lek), maar je moet een bedrijf ook de tijd geven om uit te zoeken hoe het is ontstaan, of het daadwerkelijk bij hun vandaan komt en met een passende reactie te komen.

Apple neemt over het algemeen z'n tijd bij zulke dingen om het goed uit te zoeken en pas dan met een verklaring te komen ipv. 3x je verklaring bij moeten stellen omdat je het niet goed uitgezocht hebt.

Fly-guy

@RobbieB • 1 september 2014 15:53

Je kan ook met een mededeling komen dat je gehoord hebt van een mogelijk lek, dat je het gaat uitzoeken en er later, met feiten, op terug komt. Dan laat je zien dat je er tenminste serieus mee bezig bent, nu lijkt het alsof apple denkt, als we maar niets zeggen, waait het vanzelf over.

Eerste indruk is belangrijk en gezien de comments hier is die nu niet echt positief.

Anoniem: 154887 @vali • 1 september 2014 14:47

Je hebt gelijk, maar Apple staat niet bekend om zijn mondigheid als het op dergelijke zaken aankomt , dit zal niet anders zijn

Op dit item kan niet meer gereageerd worden.

'Wachtwoorden iCloud-accounts waren via brute-force-aanval te achterhalen'

Lees meer

De zwakte van wachtwoorden

IT-banen

Reacties (239)

Sorteer op:

Weergave: