Apple: beveiliging van iCloud is niet gekraakt bij stelen naaktfoto's

De iCloud-dienst van Apple is niet gekraakt. Dat stelt het bedrijf uit Cupertino, nadat het gerucht ging dat kwetsbaarheden in de dienst zouden zijn gebruikt bij het stelen van naaktfoto's van beroemdheden. Het gaat om een 'aanval met gebruikersnamen, wachtwoorden en beveiligingsvragen'.

Apple logo Het bedrijf uit Cupertino heeft een persbericht vrijgegeven waarin het claimt dat de beveiliging van iCloud niet is gekraakt. Dat gerucht ging nadat opeens een grote hoeveelheid naaktfoto's van beroemdheden opdook.

Wel bevestigt Apple dat er onrechtmatig toegang is verkregen tot de accounts van de getroffen personen. De daders die verantwoordelijk waren voor de diefstal van naaktfoto's zouden wachtwoorden en gebruikersnamen hebben achterhaald door zich te richten op het beantwoorden van beveiligingsvragen. Hiermee zouden zij zich volgens Apple toegang hebben verschaft tot de accounts.

De FBI is een onderzoek gestart naar de diefstal van de foto's. Apple stelt samen te werken met de autoriteiten bij het achterhalen van de daders. Om diefstal van foto's te voorkomen adviseert het bedrijf om twee-stapsverificatie te gebruiken, waardoor een kwaadwillende ook toegang tot een apparaat zoals een smartphone moet krijgen om in te kunnen loggen.

Eerder deze week werden op de website 4chan naaktfoto's gepubliceerd van een groot aantal beroemdheden. De foto's zouden onder andere van iCloud zijn verkregen en omdat er ongeveer tegelijkertijd berichten naar buiten kwamen over een methode om wachtwoorden via brute force te achterhalen, werd al snel gesuggereerd dat de foto's op die manier zouden zijn buitgemaakt.

Apple adviseert gebruikers om two factor authentication in te schakelen om zich tegen dit soort beveiligingsproblemen te wapenen. Dat advies is opvallend: Vorig jaar ontdekte een beveiligingsonderzoeker dat het protocol van Apple dat wordt gebruikt voor iCloud-backups geen ondersteuning voor two factor authentication heeft: een aanvaller zou die backups dus met enkel een wachtwoord kunnen achterhalen. Er is zelfs een tool op de markt die dat automatiseert.

IT-banen

Reacties (315)

315

303

252

Wijzig sortering

markv5 3 september 2014 07:02

Alle IT'ers weten dat je niets 100% kunt uitsluiten zeker met het oog op morgen niet (denk aan Kwantumcomputers) , maar je kunt het wel moeilijker maken.

De gebruiker is vaak de zwakste schakel in beveiliging, en dat weten alle IT'ers ook, dus ook de IT'ers van Dropbox, OneDrive, Icloud en alle andere Cloud oplossingen. Gemakzucht wint het altijd van een goed beveiligingsbeleid.

Dus ik neem het deze bedrijven kwalijk dit niet beter en simpeler te beveiligen zoals automatische encryptie wanneer er wordt gesynchroniseerd. Je kunt niet verlangen dat de gebruiker dit zelf eerst doet voor je gaat synchroniseren, wat een beetje IT'er wel zal doen als het om iets enigszins gevoelige informatie gaat.

Maar ik neem het ook de celebrities kwalijk, niet dat ze dit niet weten maar wel dat ze daar niemand voor inhuren omdat voor hun te regelen, ze hebben managers, personal trainers, beveiliging van hun landgoed en persoonlijke beveiliging als dit moet, en vele anderen die hun werk uit handen nemen.

En nu de koe eindelijk verdronken is zal Cloud oplossingen met betere beveiliging wel groeien, en zullen de grote jongens wel mee moeten. En een menig beveiligingsbedrijf zal ook nu wel oplossingen gaan aanbieden voor betere IT beveiliging om een celebrity als klant binnen te halen.

Maar dit spanningsveld van ICT beveiliging loopt al jaren tussen managers, IT'ers en gebruikers.

Z___Z @markv5 • 3 september 2014 09:34

Is ook de reden waarom IT'ers relatief onderbetaald krijgen in vergelijkning met andere beroepen waarvoor je vergelijkbare skills nodig hebt. Bij managers leeft het idee dat IT iets is wat de buurjongen om de hoek ook kan.

bonus 2 september 2014 21:17

Hoe krijg je van zoveel verschillende mensen de gebruikersnamen, wachtwoorden en beveiligingsvragen goed ? Dan moet je heel goed kunnen gokken, zelfs al weet je de antwoorden op de beveiligingsvragen... Ik ben nog niet overtuigd...

drdelta @bonus • 2 september 2014 21:20

Of je gegok wordt niet afgestraft hè

Jermaine @drdelta • 2 september 2014 21:36

Op iCloud members die geen two-way/2-factor authenticatie hebben ingeschakeld

Pyrone89 @Verwijderd • 2 september 2014 21:55

Tijden? Sinds een maand of 2.

Verwijderd @Pyrone89 • 2 september 2014 23:07

2 maanden? Een jaar en 2 maanden bedoel je hoop ik? Dat, of mijn kalender loopt niet bij.

Pyrone89 @Verwijderd • 2 september 2014 23:08

In non-Engelse gebieden werkt het pas sinds kort. Controleer de nieuwsberichten maar

Verwijderd @Pyrone89 • 2 september 2014 23:21

Apart. Een paar sites claimden dat het mei vorig jaar al in Nederland was uitgerold. Dat was ook de link van Jodocus. Als dat niet zo is dan ben ik in zijn gejok getrapt. Bij Google nieuws wist ik dat hij wat moeite heeft met de waarheid. Kennelijk is dat een chronisch probleempje.

Pyrone89 @Verwijderd • 2 september 2014 23:33

Het heeft toen welgeteld een paar uur gewerkt voordat Apple het weer uitschakelde. Vervolgens tot halverwege dit jaar moeten wachten tot het daadwerkelijk weer ging werken

Evianon @Pyrone89 • 2 september 2014 23:56

Het werkt bij mij al sinds vorig jaar prima.

Pyrone89 @Evianon • 3 september 2014 10:35

Als je een van de personen was die op de dag in 2013 het hadden aangezet voordat Apple het weer verwijderde kan dat idd ja. Ook als je een Apple ID hebt uit een van de Engelstalige landen of een van de grotere EU landen (begin dit jaar) kon je het idd al eerder gebruiken.

Jermaine @Verwijderd • 2 september 2014 21:45

Ah, een -1 omdat ik de verkeerde link plaats. Ik doelde erop dat de celebs hun 2-factor authenticatie niet hebben ingeschakeld, niet dat het pas later in de Benelux beschikbaar was.

monojack @bonus • 2 september 2014 21:29

Phishing? Een hack van een andere site waar ze net dezelfde gegevens op invullen? Er zijn echt wel genoeg mogelijkheden die geloofwaardiger klinken dan een iCloud hack.

musback @monojack • 2 september 2014 22:05

Ik kan wel bevestigen dat ik laatste maanden meer en meer apple achtige mails ontvang om 'mijn gegevens te bevestigen, zoniet wordt uw apple ID verwijderd' kan me best inbeelden dat mensen daar in trappen en lijkt me ook heel waarschijnlijk dat het lekken van inloggegevens zo gebeurd is.

monojack @musback • 2 september 2014 22:13

En die sites zien er echt heel goed nagemaakt uit tegenwoordig. Heb er ook al zo één toe gekregen en onmiddellijk mijn collega's gewaarschuwd omdat zij net zoals deze celebs niet echt op de hoogte zijn van de gevaren van zulke mails.

Richh

@monojack • 2 september 2014 23:45

Het is dan ook geen hack, maar een gerichte brute-force attack. Die mogelijk was omdat Apple 1 dingetje was vergeten.

monojack @Richh • 3 september 2014 01:15

Nee een gerichte attack op gebruikers met onveilige paswoorden of gestolen accountgegevens. Brute force attack blijkt onmogelijk de oorzaak te zijn geweest.

[Reactie gewijzigd door monojack op 24 juli 2024 03:01]

Richh

@monojack • 3 september 2014 07:45

Gebaseerd op wat?

RebelwaClue @monojack • 3 september 2014 09:26

Volgens een aantal bronnen was het wel brute force gericht op find my iPhone en heeft Apple dit gepatched NA deze hack. Bron Engadget Bron ZDNet

badflower @bonus • 2 september 2014 21:20

Simpel. Copy-paste de apple emails, website etc en doe net of er iets mis is met je iCloud account.
Laat mensen vervolgens hun iCloud account 'resetten' door hun huidige credentials in te laten vullen. Et voila.

De zwakste schakel in beveiliging zijn dan toch weer de mensen. Kennelijk zijn ze nogal goedgelovig in Hollywood.

Richh

@badflower • 2 september 2014 22:23

Zo is het dus niet gegaan.

Zoals drdelta hieronder aangeeft konden 'hackers' onbeperkt raden omdat Apple hier geen 'raadlimiet' op had gezet (vul op Facebook maar eens 10x een verkeerd wachtwoord in...).

Die 'hackers' hebben dus een programmaatje geschreven die alle mogelijke wachtwoorden probeerde totdat ze erin kwamen. Een methode die eigenlijk overal wordt afgevangen, behalve bij Apple's Find My iPhone dan (tenzij je Two-factor authentication aan had staan, wat natuurlijk vrijwel niemand heeft omdat men er geen verstand van heeft).

[Reactie gewijzigd door Richh op 24 juli 2024 03:01]

Verwijderd @Richh • 2 september 2014 23:21

Het is behoorlijk offtopic, maar misschien een leuke tip voor mensen die eigen sites ontwikkelen en ook een inlogmechanisme hebben:

Indien je geen tijd/zin/kennis hebt om een complex anti-raad systeem te bouwen, dan kun je met een enkel statement een "poor man's" implementatie doen: zet aan de serverkant gewoon een time-out van bijv 2 seconden voordat de inlog routine verdergaat.

2 seconden (nodeloos) wachten is voor een gebruiker bij een inlogaktie te overzien. Echter, voor een dictionary attack is 2 seconden per poging desastreus en niet interessant.

Dorank @Verwijderd • 2 september 2014 23:53

Sorry hoor, maar dit is het slechtste anti bruteforce advies wat ik ooit gezien heb, tenzij je per ip adress/gebruiker maar 1 inlog poging actief mag hebben. Bruteforces vinden via botnets plaats, niet iemand die dat met de hand aan het doen is. Resultaat is dat je potentieel duizenden requests van verschillende ipadressen kan hebben lopen, die 2 seconden maken dan ook niets meer uit. Maar met alle waarschijnlijkheid laat het login script van de luie ontwikkelaar gewoon een ongelimiteerd aantal connecties per ip toe (voorzover de server/daemon geen limiet heeft), en ook dan maakt het niets uit, je krijgt dan gewoon een groot aantal parallele requests.

Wil je bruteforces stoppen:
-log de gefaalde login pogingen (op z'n mins ipadres)
-vertel nooit waarom iets faalt
-gebruik een script om de log te voeden aan een firewall
-gebruik ratelimiting per user en of ip
-steek er tijd in, dit is belangrijk
-gebruik blacklists voor login paginas, dit zijn over het algemeen bots die al bv in spamhaus dnsbls staat van wegen spammen.
-scan je logs naar patronen

Verwijderd @Dorank • 3 september 2014 00:20

Je hebt duidelijk mijn bijzin niet gelezen "Indien je geen tijd/zin/kennis hebt om een complex anti-raad systeem te bouwen". Ik zeg duidelijk dat het een poor man's implementation is, wat betekent dat het veel beter dan niets is.

Dorank @Verwijderd • 3 september 2014 00:29

Dan heb je de strekking van mijn opmerking gemist: 2s wachten heeft 0,0 effect. Sterker nog, het heeft het tegenovergestelde effect: het introduceert schijnveiligheid.

Pak eens de logs van een random publieke webserver, ga eens kijken hoe vaak daar geprobeerd wordt om in te loggen op cms-en die er niet eens op draaien (voor de virtualhost waar de log voor is). ssh/ftp/imap/pop/smtp logins voor accounts die niet bestaat of op servers die niet eens authenticatie aanbieden voor sommige protocollen. Publieke servers worden de heledag dag geprobed, het resultaat maakt de scanners helemaal niets uit, ze blijven stug doorgaan op zoek naar die ene plek die login/wachtwoord test/test, admin/admin, enz heeft. En ja, het levert resultaat op, ook al is de SNR nihil.

Ulster Seedling @bonus • 2 september 2014 21:20

De daders die verantwoordelijk waren voor de diefstal van naaktfoto's zouden wachtwoorden en gebruikersnamen hebben achterhaald door zich te richten op het beantwoorden van beveiligingsvragen.

Door de beveiligingsvragen te beantwoorden kan je om het wachtwoord heen. De beveiligingsvragen zijn immers bedoeld voor de situatie dat je je wachtwoord vergeten bent. En als een celebrity hiervoor vragen heeft gekozen waarvan het antwoord op internet staat, dan is dit dus vrij makkelijk. ("In welke straat ben je opgegroeid?")

bonus @Ulster Seedling • 2 september 2014 21:35

Daar heb je gelijk in, maar dan zijn de beveiligingsvragen eigenlijk gewoon een te zwak middelen om zulke diensten als cloud optimaal te beschermen. Dan zou je een SMS of een telefoontje of in iedergeval een 2de check moeten hebben alvorens het passwrd te mogen reseten.

Ulster Seedling @bonus • 2 september 2014 22:29

Absoluut mee eens. Apple biedt dat tegenwoordig aan, maar m.i. zijn ze er te laat mee (Google was eerder) en zouden ze het meer moeten opdringen. Hopelijk schudt dit incident clouddienstverleners wakker om beter na te denken over beveiliging.

Verwijderd @Ulster Seedling • 4 september 2014 16:41

Wat ik hierboven ook al eens zei; beveligingsvragen zijn totaal achterhaald. De meisjesnaam van je moeder, naam van je huisdier, naam van de school waar je op zat.... Ook bij niet celebs is het tegenwoordig niet zo moeilijk om daarachter te komen hoor, even op je facebook pagina snuffelen is meestal al genoeg. Het is echt onbegrijpelijk dat die onzin niet al lang is afgeschaft.

TrisBe @bonus • 2 september 2014 21:27

http://nl.wikipedia.org/w...engineering_(informatica)

Van bekende is een hoop info te vinden... zelfs van niet bekende personen.
Beveiligingsvragen zijn natuurlijk altijd simpele die je niet fout kan hebben als je daadwerkelijk die persoon ben. Zulke vragen zijn vaak:
-Middelnaam van je moeder/vader
-Eerste school
-Eerste huisdier
-etc

Het hele systeem van beveiligingsvragen gebaseerd op informatie dat nauwelijks/niet veranderd is altijd een slecht idéé. Mijn ervaring is dat de meeste bekende van mij de beveiligingsvragen van mij goed kan gokken als ik ze daadwerkelijk naar de waarheid invul.

Banix @TrisBe • 2 september 2014 22:14

je krijgt geen toegang tot het account met de beveiligingsvragen, maar de mogelijkheid je wachtwoord te wijzigen en als je dit doet krijgt de eigenaar van het apple id een mail dat het wachtwoord is gewijzigd. Dit gaat dus niet op.

MrMarcie @bonus • 3 september 2014 11:16

Dit zijn bekende mensen, dus als ze makkelijk te achterhalen antwoorden op beveiligingsvragen hebben (hoe heet je moeder bijvoorbeeld) dan is dat zo gebeurd. En jij weet toch ook dat heeeel veeeeel mensen makkellijk te raden passwords hebben.

1. 123456 (Up 1)
2. password (Down 1)
3. 12345678 (Unchanged)
4. qwerty (Up 1)
5. abc123 (Down 1)
6. 123456789 (New)
7. 111111 (Up 2)
8. 1234567 (Up 5)
9. iloveyou (Up 2)
10. adobe123 (New)
11. 123123 (Up 5)
12. Admin (New)
13. 1234567890 (New)
14. letmein (Down 7)
15. photoshop (New)
16. 1234 (New)
17. monkey (Down 11)
18. shadow (Unchanged)
19. sunshine (Down 5)
20. 12345 (New)
21. password1 (Up 4)
22. princess (New)
23. azerty (New)
24. trustno1 (Down 12)
25. 000000 (New)

bonus @MrMarcie • 3 september 2014 11:22

Als je zo'n password kiest dan heb je ook geen recht van spreken als de boel openbaar gaat

Het moet natuurlijk, als je waarde hecht aan privacy, een goed password zijn. En als je foto's dus danig intiem zijn zullen we maar zeggen dan mag je daar best even moeite voor doen.

RobbieB @bonus • 2 september 2014 21:50

Daarnaast is er bij deze hack niet alleen data van iCloud afgehaald. Er zijn genoeg foto's gelekt die met Android of Blackberry's zijn gemaakt.

Armin

Netwerk en systeembeheer

@RobbieB • 2 september 2014 21:55

Thuis lekker gesynct een stijlvolle Mac?

Soldaatje @Armin • 2 september 2014 22:03

Kan dat?

HADES2001 @Armin • 2 september 2014 22:20

waar RobbieB naar duid is dat het lekken van de foto's niet meteen betekent dat alle foto's van een apple account af hoeven te komen.
Er zijn in het verleden ook vaak genoeg telefoon gestolen van bekende mensen dan is het niet zo moeilijk om dat geheugenkaartje er uit te halen

TMC 2 september 2014 21:20

Dat iCloud niet gekraakt is, wil niet zeggen dat Apple geen verantwoordelijk heeft. Dit geldt trouwens net zo hard voor Google, Dropbox, etc. Eigenlijk zou je je als gebruiker nooit zorgen hoeven te maken over de veiligheid zolang je je wachtwoord niet afgeeft, maar toch kan dit blijkbaar gevaarlijk zijn. Dat is kwalijk. Techniek moet het leven makkelijker maken, niet moeilijker. Daarnaast vragen Google en Apple zo vaak om je wachtwoord, dat een sterk wachtwoord gewoon niet praktisch is. Two-step verification lost dit deels op, maar er zijn nog genoeg flaws te ontdekken. Bijvoorbeeld bij Apple wordt je verplicht drie geheime vragen te kiezen, ik kan me voorstellen dat deze antwoorden bij beroemdheden vrij eenvoudig te googlen zijn.

Hoe dan ook, techniek moet het leven makkelijker maken en niet moeilijker, en daar is Silicon Valley in dit geval onvoldoende in geslaagd.

HADES2001 @TMC • 2 september 2014 21:31

wat een onzin.
als de bekende persoon in kwestie een geheime vraag heeft
Naam van je basisschool? en dan ook serieus de naam van de basisschool invult dan heeft apple hier NIETS mee te maken
ieder persoon kan dan gewoon in google zoeken daar naar geheid tientallen sites die dit weergeven en je hebt toegang.
De celebs zijn hier dan ook volledig zelf de schuldige en dupe van hun eigen stommiteit.

TMC @HADES2001 • 2 september 2014 21:34

Als je aan iemand vraagt 'wat is je basisschool?' en je vindt dat die persoon stom is als die daar eerlijk antwoord op geeft, dan zit er iets niet goed in het systeem. Nogmaals, techniek moet zo simpel mogelijk zijn, als je zelf een systeem moet gaan neppen omdat je er niet in vertrouwt zit er iets niet goed, punt.

Ik vind de celebs niet schuldig. Zij zijn bezig met acteren, niet bezig met met in de gaten houden hoe je je gegevens het beste kan beveiligen. Zij vertrouwen erop dat Apple (en Google, etc.) dit voor hen regelt (terecht!), maar dat doen Apple en Google onvoldoende.

Waar het om gaat is dat techniek die het leven verbetert en makkelijker maakt niet gepaard moet gaan met een lesje 'hoe ga ik hackers tegen'. Dat laatste is helaas een noodzakelijk kwaad, maar het blijft een kwaad. Het zou gewoon niet noodzakelijk moeten zijn. Het maakt het leven van de gebruiker slechter i.p.v. beter.

[Reactie gewijzigd door TMC op 24 juli 2024 03:01]

HADES2001 @TMC • 2 september 2014 21:44

Dus jij vult serieus in bij de geheime vraag wat was je basisschool de naam van basisschool ?
techniek moet zo simpel mogelijk zijn gaat hier totaal niet in op.
als jij een beveiligingsvraag invult en een wachtwoord aanmaakt moet je er voor zorgen dat zelf je partner of beste vriend deze niet zou kunnen raden.
Dit heeft ook niets te maken met dit moet zo makkelijk mogelijk zijn.
Waarom denk je dat steeds meer sites verplichten een hoofdletter, een cijfer en minimaal 8 tekens in totaal?
somige sites verplichten zelfs 12 tekens.

Ik snap ook niet hoe je apple en google verantwoordelijk kan houden voor iets waar ze zelf geen invloed op gehad hebben.
Zei bieden alle mogelijkheden om je account goed te beveiligen, dat mensen daar geen goed gebruik van maken is hun eigen schuld.

Jouw huisbaas geeft jou een sleutel van je huis als je dan zelf zo dom bent om te melden dat je reservesleutel onder je deurmat ligt ga je dan ook klagen als je huis is leeg geroofd bij je huisbaas omdat ze zo binnen konden komen?

TMC @HADES2001 • 2 september 2014 21:46

Hoezo hebben ze daar geen invloed op? Apple stelt toch echt zélf die vragen!

Als je een systeem moet misleiden om ervoor te zorgen dat het veilig is, is het systeem niet goed.

HADES2001 @TMC • 2 september 2014 21:55

Hoezo ze daar geen invloed op hebben ? heel erg simpel de gebruiker vult dit zelf in, een beetje persoon met een normaal denkvermogen moet toch wel begrijpen dat iedereen serieuze antwoorden op die vragen kan achterhalen.
Dus vul je dingen in die niet voor de hand liggen.
dat heeft niets te maken met systeem misleiden

Dorank @HADES2001 • 3 september 2014 00:16

Je moet dus onthouden wat de "leugen" is op de vraag? Maar laat het nut van de vraag nu zijn dat je die wel weet (te achterhalen) indien je je wachtwoord niet meer weet. Voorbeeld: Ik ben zo slim als jij hoopt dat iedereen is, ik heb dus als antwoord op de vraag: wat is favoriete kleur, het antwoord fietsbel gegeven. Maar om te voorkomen dat ik voor de verschillende sites met dezelfde vraag het zelfde antwoord heb (waarvan iedereen weet dat dat behoorlijk riskant is) is dat per dienst anders, het resultaat: ik sla de vraag/antwoord op in mijn password manager, samen met mijn wachtwoord. Als ik dus mijn password manager kwijt ben weet ik het antwoord op de recovery vraag ook niet meer.

Als gebruiker van een password vault heb ik dus een aversie tegen dit soort recovery vragen, bovenstaande scenario is mijn praktijk.

Teijgetje @HADES2001 • 3 september 2014 11:42

Maar kan je als ontwerper dan niet beter gewoon om een beveiligingswoord of zin vragen? Clueless?
Zonder daar een vraag tegenover te stellen als iedereen vindt dat de vragen zo makkelijk te achterhalen zijn?
Of in het invulveld bij de vraag al zetten "vul dit niet naar waarheid in want dat is te makkelijk" , waar je overheen typt?

Zit de fout dan niet toch een beetje in het systeem ingebakken?
Een beetje persoon met een normaal denkvermogen gaat er namelijk van uit dat het veilig is, tenzij je de waard bent.

madmaxnl @HADES2001 • 2 september 2014 22:48

Niet helemaal. Als ze bij jou thuis inbreken en dat blijkt heel erg eenvoudig dan is het toch ook niet zo dat jij het dan schuld bent? (en dat de verzekering niet betaald). Men moet gewoon uit jouw huis blijven, klaar, je mag niet inbreken.

Dergelijke foto's kunnen ze wellicht ook thuis buitmaken. Dan kun je wel het argument blijven voeren dat je dergelijke foto's gewoon niet moet maken.

De celebrities zitten imo dan ook alleen daar fout, bij het maken van die foto's omdat je dan dat risico loopt, maar dan nog is inbraak op hun iCloud en inbreuk op hun privé nog altijd niet te rechtvaardigen what so ever.

HADES2001 @madmaxnl • 2 september 2014 23:34

hangt er totaal vanaf als ik een reserve sleutel onder de deurmat leg en zei maken daar gebruik van is het toch me eigen stomme schuld geweest om mijn huissleutel daar neer te leggen ?
en het argument "Men moet gewoon uit jouw huis blijven, klaar, je mag niet inbreken. "
dat slaat nergens op stelen en moorden mag niet maar de lik zit wel vol.

Nergens in mijn opmerking meld ik dat het gerechtvaardigd is wat ze doen wat ik gewoon duidelijk aangeef is dat het nergens op slaat wat TMC zegt en dat apple verantwoordelijk is voor een te simpel beantwoorden geheime vraag, zei kunnen er niets aan doen wat de gebruiker invult.

madmaxnl @HADES2001 • 3 september 2014 13:30

Hebben gebruikers hun paswoord, c.q. sleutel dan zo te grabbel gegooid? Lijkt me namelijk niet. Men heeft gewoon d.m.v. slinkse wegen wachtwoorden achterhaald.

Het is niet anders dan iemand stalken, wachten tot die persoon eens een fout maakt m.b.t. het afsluiten van zijn huis en dan toeslaan (raampje open, deur vergeten afsluiten).

Vervolgens met z'n alle roepen dat de desbetreffende persoon waarbij is ingebroken het dan zelf schuld is. Lulkoek, we moeten de mensen die hier achter zitten, en dus verantwoordelijk zijn, pakken en niet de schuld in de schoenen van het slachtoffer schuiven.

Als een meisje verkracht wordt ga je toch ook niet zeggen zelf schuld omdat je een mini rokje draagt... Ja het risico wordt het niet kleiner op, maar het meisje heeft gewoon het recht een mini rokje te dragen als ze dat wil. Idem dito met openlijke homoseksualiteit,. Wordt je in elkaar geslagen en dan word je verweten dat je het zelf schuld bent omdat dit ook weer risicovol is.

Je vrijheid en privacy zou niet moeten lijden omdat er mensen zijn die jou die vrijheid en privacy niet gunnen en/of daar niet tegen kunnen.

rty @HADES2001 • 2 september 2014 21:43

Als je die vragen niet naar waarheid moet beantwoorden, waarom zijn ze er dan?

monojack @TMC • 2 september 2014 21:32

Waarom is Apple verantwoordelijk? Volgens Apple heeft geen van hen two step verification geactiveerd dus ligt de verantwoordelijkheid gewoon bij de gebruikers.

TMC @monojack • 2 september 2014 21:40

De meeste mensen hebben er te weinig verstand van om de gevolgen van het niet inschakelen van two-step verification te overzien. Het is de taak van Silicon Valley om hiervoor een oplossing te vinden. Je kan niet van gebruikers verwachten dat zij digitale beveiliging volledig onder de knie hebben, het is aan SV om daar een oplossing voor te bedenken.

monojack @TMC • 2 september 2014 21:48

In dit geval ligt het echt niet aan SV om dit op te lossen hoor. Deze mensen zijn high profile dus ligt de schuld eigenlijk bij hun management.

En ik denk dat dankzij dit incident SV zelfs niets meer moet doen. Ik denk dat het voor de meeste mensen nu wel duidelijk is wat de cloud is en dat je je beter moet beveiligen. Jammer voor die celebs maar zij zijn nu de postergirls voor two step verification

TMC @monojack • 2 september 2014 21:51

Ik denk dat het voor de meeste mensen nu wel duidelijk is wat de cloud is en dat je je beter moet beveiligen.

Dat denk ik niet.

Teijgetje @monojack • 3 september 2014 11:54

Dat ligt niet aan het management hoor.
Ik heb van diverse mensen in mijn omgeving gehoord dat ze overgestapt zijn op Apple mede OMDAT dat veel veiliger is.

Die managers zullen dat ook gezegd hebben (bv. toen ze mooie apparatuur van Apple aangeboden kregen als promotie materiaal = gratis celeb exposure voor Apple)

Dan gebruik je het verder als vanouds OMDAT het veel veiliger is.
Dus zelfs die extra sleutel, waarvan je niet verteld waar die ligt, verwacht je niet te vinden te zijn, ook zonder dat je je in bochten moet gaan wringen (niet naar waarheid).

madmaxnl @monojack • 2 september 2014 22:59

Ja en nee, Apple promoot wel met hun simpelheid en gebruiksvriendelijkheid. Two step verificiation is niet echt gebruiksvriendelijk. Als je één keer per dag inlogt heb je het daar al snel mee gehad.

Dus nee, in dit specifieke geval van Apple vind ik dat Apple wel een bepaald verantwoordelijkheid heeft. Ze promoten zich immers als gebruikersvriendelijk, maar vergeten daar zelf bij te vermelden dat dit dus bijvoorbeeld ten kosten gaat van veiligheid. Ditzelfde geldt voor de dikke app store die ze hebben. Dat komt voort uit de populariteit. Uit deze zelfde populariteit komt interesse voor spyware, ransomware, ghost miners etc. Alleen als het besturingssysteem veel in gebruik is kan men genoeg (of i.i.g. meer) winst draaien met dergelijke flauwekul.

Zo heeft Apple denk ik ook de klanten niet goed genoeg voorgelicht over de gevaren van automatische synchronisatie met de iCloud.

Eswip @TMC • 2 september 2014 21:37

Apple heeft ook al two-factor authenticatie. Dit vervangt het systeem van beveiligingsvragen. Het enige punt is dat de gebruiker dit wel zelf moet instellen.

TMC @Eswip • 2 september 2014 21:50

En blijkbaar doen veel mensen dat niet.

Wiens schuld is dat? Kan je van gebruikers verwachten dat zij de gevolgen van het niet inschakelen van two-step verification overzien? Ik vind van niet. Veel te ingewikkeld.

Als je nu denkt 'het is niet zo ingewikkeld', think again, als je er geen verstand van hebt is zoiets wel ingewikkeld. Vraag op de Kalverstraat op zondag aan 100 mensen wat het nut van two-step is en 90 kunnen het je niet uitleggen. Te ingewikkeld, punt.

Eswip @TMC • 2 september 2014 21:53

Het hele punt is dat een goede beveiliging altijd ingewikkeld is.. Hoeveel mensen vinden het wel niet vervelend dat als ze een wachtwoord in moeten voeren, het minimaal een hoofdletter en kleine letter moet bevatten, een vreemd teken, minimaal een cijfer en minimaal 8 tekens lang. Dat is ontzettend onhandig, maar het is de enige manier om er voor te zorgen dat het veiliger wordt.

TMC @Eswip • 2 september 2014 21:57

Eens, het is altijd lastig. Maar het kan wel degelijk beter. Bijvoorbeeld door niet verplichte vragen te moeten kiezen voor als je je wachtwoord bent vergeten.

RobbieB @TMC • 2 september 2014 22:20

Als je zo beredeneerd kun je het mensen ook niet kwalijk nemen dat ze als wachtwoord hun geboortedatum of adres gebruiken...

Of als je het doortrekt dat ze geen sloten op hun huis doen en dan gaan klagen dat er is ingebroken.

Iedere persoon is zélf verantwoordelijk zijn eigen bezittingen (materieel of data) te beveiligen. Als je dat niet goed doet, is dat jóu probleem als er via die weg toegang wordt verleend.

Mensen moeten zelf weten of ze naaktfoto's maken, delen of wat dan ook. Dat zijn privézaken en keuzes van die mensen zelf, daar kun je ze niet voor veroordelen. En in dit geval is het verschrikkelijk dat er op illegale wijze toegang is verkregen tot die foto's. Maar als jij als hollywoodster de sleutel van je huis in de kroeg laat liggen, is dat wel je eigen schuld...

TMC @RobbieB • 2 september 2014 22:23

'Als je zo beredeneert...' en vervolgens kom jij met allerlei voorbeelden waarin jij duidelijk anders redeneert. Je kan het mensen wel kwalijk nemen dat ze een makkelijk te raden wachtwoord nemen. Net zoals je het mensen kwalijk kan nemen als ze hun sleutel onder de deurmat verstoppen (is ook makkelijk te raden). Het equivalent van geen sloten is geen wachtwoord nemen. Dat kan niet eens, dus dat klopt niet.

In dat geval lieten ze de sleutel niet in de kroeg liggen, het is eerder alsof ze van een huisbaas de sleutel kregen en er vanuit zijn gegaan dat hij stiekem geen sleutel heeft achtergehouden terwijl hij dat wel deed.

drdelta @TMC • 2 september 2014 21:57

Daarnaast vragen Google en Apple zo vaak om je wachtwoord, dat een sterk wachtwoord gewoon niet praktisch is.

Een pragmatische oplossing zou een wachtwoord genereer/beheerprogramma zijn. Een sterk wachtwoord, met vrij weinig nadelen/ongemak.

Bijvoorbeeld bij Apple wordt je verplicht drie geheime vragen te kiezen, ik kan me voorstellen dat deze antwoorden bij beroemdheden vrij eenvoudig te googlen zijn.

Je kunt hier natuurlijk invullen wat je wilt, je bent redelijk naief als je als bekend persoon daadwerkelijk de naam van je hond, de naam van je middelbare school en het geboortejaar van je vader invult. Veel beter natuurlijk een uniek wachtwoord voor ieder. Ik neem aan dat (rijke) beroemdheden advies krijgen hoe zij zichzelf (financieel en digitaal) moeten beveiligingen tegen criminelen.

Techniek moet het leven makkelijker maken, niet moeilijker.
...
Hoe dan ook, techniek moet het leven makkelijker maken en niet moeilijker, en daar is Silicon Valley in dit geval onvoldoende in geslaagd.

Je hebt slechts een password safe en een smartphone nodig en je bent in vrijwel alle gevallen voldoende beschermd, zelfs als celeb. Behalve als een helpdesk "iets" teveel "helpt", of een systeem kapot/onveilig is, natuurlijk.

TMC @drdelta • 2 september 2014 22:00

Password safe vind ik helemaal niet makkelijk. Wil je een app downloaden, moet je eerst een password opzoeken en copy/pasten. Veel gedoe hoor.

drdelta @TMC • 2 september 2014 23:29

Ik ook iedere keer als ik geld wil overboeken, eerst die kaart uit m'n portemonnee, allemaal codes intypen, man man wat een gedoe

Als je waarde hecht aan je veilgheid dan zul je daar (een beetje) gemak voor op moeten offeren. Vind je het hinderlijk iedere keer die sleutel in dat slot te steken? Laat je je deur toch open staan

Teijgetje @TMC • 3 september 2014 12:10

Tip 1 : Kies een "werkbaar" uniek makkelijk te onthouden moeilijk wachtwoord. (bv een zinnetje aan elkaar met hoofdletters en letters in tekens veranderd uit je favoriete gedicht.)

Tip 2 : Password managers browser plug-ins/telefoon apps kan je voor bepaalde tijd ingelogd laten als je de browser of app afsluit, zelfs na afsluiten en weer opstarten van het device. Al naar gelang je het gebruikte apparaat "vertrouwd".
Je telefoon zal eerder ontvreemd zijn of door anderen gebruikt worden dan je thuis PC/laptop.

Tip 3 ; Je kan de passwordmananger automatisch laten inloggen als je een site/store opent, ( je logt eerst in in je manager en opent de site van daar uit of de manager herkend de site en logt voor je in.)

[Reactie gewijzigd door Teijgetje op 24 juli 2024 03:01]

_David_ @TMC • 2 september 2014 21:24

Het is je eigen verantwoordelijkheid om een goed wachtwoord te gebruiken, niet die van Apple etc

Richh

@_David_ • 2 september 2014 22:38

Zelfs al heb je een enorm ingewikkeld wachtwoord, als Apple toestaat om 100.000 inlogverzoeken met verschillende random wachtwoorden te verwerken, zal iedereen naar verloop van tijd je wachtwoord ontdekken.

Apple had deze controle bij de server uit moeten voeren. Ze zeggen nu wel 'stel TFA in', maar vrijwel niemand weet natuurlijk wat dat is.

Teijgetje @Richh • 3 september 2014 11:28

WTFA dan weer wel.....

Maar goed, een wijze les voor iedereen en een pijnlijke voor sommigen.
Hopelijk leveren alle OS-en binnenkort standaard een verplichte standalone 256bits versleutelde passwordmanager mee.

[Reactie gewijzigd door Teijgetje op 24 juli 2024 03:01]

TMC @_David_ • 2 september 2014 21:27

Klopt, maar je zou beroemdheden niet met een dergelijke grote last (gegeven het grote risico, is dat het namelijk) moeten opzadelen om een alledaags product te kunnen gebruiken. Het feit dat vele acteurs dit overkomt (doorgaans geen domme mensen) geeft al aan dat het blijkbaar iets is waar 'de gemiddelde gebruiker' te weinig aandacht voor heeft. Dat is de schuld van de fabrikant, niet van de gebruiker. Producten moeten het leven van gebruikers ondersteunen, niet andersom.

[Reactie gewijzigd door TMC op 24 juli 2024 03:01]

Ulster Seedling @TMC • 2 september 2014 21:23

En stel dat je je wachtwoord vergeten bent? Dan kan je niet meer bij je gegevens? Voor die situatie zijn dus beveiligingsvragen bedacht, die o.a. Apple toepast. Het is zeker geen waterdichte oplossing (zoals we hier maar weer eens zien), maar ook deze beveiligingsvragen zijn bedoeld om het leven makkelijker te maken.

TMC @Ulster Seedling • 2 september 2014 21:25

Dat snap ik, maar blijkbaar niet makkelijk genoeg. Ik zeg ook niet dat de oplossing simpel of voor handen is is, maar het is wel de verantwoordelijkheid van Silicon Valley.

BoringDay @TMC • 2 september 2014 21:53

Hoe zouden ze er dan in moeten slagen?
Eerst je dna afnemen voordat je kan inloggen zonder 1 letter te typen

Deel van de veiligheid heb je in eigen handen en als je als ster al helemaal intieme foto's daar gaat bewaren dan moet je wel hondsdol zijn

100% veiligheid bestaat niet ook niet voor hele grote bedrijven, zo is het eenmaal en zal ook niet zo snel ineens anders worden.

[Reactie gewijzigd door BoringDay op 24 juli 2024 03:01]

Verwijderd @BoringDay • 3 september 2014 09:19

Je hebt dan aan één haar van een celeb genoeg om met zijn/haar account in te loggen. DNA is uniek, maar geheel NIET veilig.

FaceDown 2 september 2014 21:18

Tuuurlijk Apple. De hacker kende toevallig de gebruikersnamen van de lekkerste bekende wijven ter wereld en wist ook nog het antwoord op hun geheime vraag.

_David_ @FaceDown • 2 september 2014 21:21

Waarschijnlijk kan je wachtwoorden resetten met antwoord op een geheime vraag, en de antwoorden op dat soort vragen zijn makkelijk te vinden als je beroemd bent.

Richh

@_David_ • 2 september 2014 23:02

Toevallig zeg! Dat je, vlak nadat bekend wordt dat de Find My iPhone-API brute-forces toestaat, 10tallen celebertiesaccounts gaat hacken terwijl die methode al jaren kan.

nieuws: 'Wachtwoorden iCloud-accounts waren via brute-force-aanval te achterhalen'

Je hoort me niet zeggen dat alle foto's op die manier bemachtigd zijn, maar volgens mij moeten de meeste Tweakers goed lezen. Apple zegt nergens dat de (wel bevestigde onrechtmatige toegang) niet is verkregen door brute forces.

curumir @Richh • 3 september 2014 14:08

Het staat er inderdaad niet 100% letterlijk in, maar er wordt wel expliciet genoemd dat Find my iPhone niet gehackt is. De vraag is alleen of Apple een brute force aanval een hack vindt.

http://www.apple.com/pr/l...Apple-Media-Advisory.html

After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

Zoals hierboven al uitgerekend heb je voor een minimaal (huidige standaard) wachtwoord bij Apple al flink wat pogingen nodig. Wellicht dat je er een paar kunt vinden met heel makkelijke wachtwoorden, maar de praktijk lijkt zo te zijn dat social engineering en andere vormen van hacken makkelijker zijn.
Zie ook https://www.nikcub.com/po...the-celebrity-data-theft/ met meer info over netwerken die zich hier mee bezighouden. Hij gaat er juist vanuit dat het niet de brute-force attack was. Juist Apple is relatief kwetsbaar voor de andere vormen vanwege een aantal zwakke punten in iCloud.

TMC @FaceDown • 2 september 2014 21:22

Beetje raar deze comment. Er is 0,0 bewijs dat iCloud gehackt is, maar alsnog geloof jij het niet als Apple het ontkent. Bewijslast ligt altijd bij de persoon die claimt, niet andersom.

Teijgetje @TMC • 3 september 2014 11:24

Apple zegt dat de iCloud niet gehackt is, (als geheel bedoelen ze dan), maar dat dat kwam door gerichte aanvallen op gebruikers.
Verder zeggen ze niks.........
Gezien de exploit in de API in find my Phone kan dat dus best voor individuele accounts gebeurd zijn maar daar legt Apple de schuld van bij de gebruiker....zwakke wachtwoorden, makkelijke vraag, whatever. find not our problem.

Waarschijnlijk had het nooit gekund als die API niet die inconsistentie had bevat.

ronaldmathies @FaceDown • 2 september 2014 21:21

Probleem is dat veel mensen dezelfde gebruikersnamen op verschillende plekken gebruiken, daarnaast gebruiken veel mensen dezelfde vragen voor wanneer ze hun wachtwoord vergeten zijn en dezelfde antwoorden. Dat maakt het allemaal al makkelijker.

Gohan040 @FaceDown • 2 september 2014 21:39

Op zich snap ik je opmerking maar met Celebs zijn zulke vragen natuurlijk een stuk makkelijker te achterhalen dan b.v. van Wollie Wolk uit Appelscha....

Klein voorbeeldje... Stel dat ene Maria Carey als beveiligings vraag heeft; "name dog?"

1x googlen geeft dan al....

Mariah Carey’s dogs are called…

Jill E Beans
The Good Reverend Pow Jackson
Pipitty Jackson
Cha Cha
Jackie Lamb Chops
JJ
Squeak E Beans
Mutley P Gore Jackson The Third

Je hebt tenslotte veel meer info over bekende mensen ter beschikking, en als je al die info combineert zal je echt wel achter iemands inlog naam en beveiligings vraag komen denk ik zo. En lukt het bij de ene niet dan lukt het bij een ander wel.... Het hele leven van die mensen staat op internet tenslotte.

[Reactie gewijzigd door Gohan040 op 24 juli 2024 03:01]

LessRam 2 september 2014 21:20

Ik vind die beveiligingsvragen ook vaak erg vervelend. Kreeg ze laatst ook weer een keer. Een verplichte keuze uit vragen als;
* Hoe heette je eerste huisdier?
* Meisjesnaam van je moeder
* Straat van je lagere school
* Merk van je eerste auto

Tja.... een beetje bekende van je, of iemand die zich echt in je verdiept, kan het allemaal traceren.

Jermaine @LessRam • 2 september 2014 21:33

Daarom lijkt een dienst als Authy me een goed idee voor Apple. Diensten als Google, Dropbox en Github ondersteunen dit en ik moet zeggen dat ik er erg blij mee ben, tenzij ik mijn telefoon met deze app erop niet bij me heb. Genoemde diensten kunnen volgens mij ook een SMS sturen als je Authy niet bij de hand hebt, maar dan heb je waarschijnlijk ook je telefoon niet mee

...

njitter @Jermaine • 2 september 2014 22:01

Authy is gewoon een alternatieve App voor de 2-factor authenticatie van Google en andere sites.

http://en.wikipedia.org/wiki/Google_Authenticator

PPie @LessRam • 2 september 2014 21:41

Tja.... een beetje bekende van je, of iemand die zich echt in je verdiept, kan het allemaal traceren.

Tenzij je ze niet naar waarheid invult.
Ik heb bijvoorbeeld eens een keer als antwoord voor zo'n vraag het resultaat ingevuld 'openssl sha <random file van mijn desktop>', omdat je verplicht was het in te vullen.
Knappe jongen die dat antwoord verzint.
(Oh ja, wel even opgeslagen in de passwordsafe, want ik weet het anders ook niet meer...

aCCuReRaS @LessRam • 2 september 2014 21:50

Ik gebruik altijd een soort 'wachtwoord' als antwoord op zulke vragen. Dat zorgt ervoor dat niemand ze kan raden op basis van wie ik ben.

drdelta @LessRam • 2 september 2014 21:51

Zoals PPie ook aangeeft hoef je daar natuurlijk niet daadwerkelijk de naam van iets of iemand te geven. Een uniek wachtwoord kun je ook gebruiken voor zulke "aanvullende" beveiliging. Een stuk veiliger waarschijnlijk dan daadwerkelijk een serieus antwoord.

reyals @LessRam • 2 september 2014 22:15

Ligt er nog steeds aan wat je invult. Als je bij de naam van je huisdier je postcode gebruikt wordt het erg moeilijk te raden, om maar even een voorbeeld te noemen. Al is het antwoord maar zo onlogisch dat het niet te raden is

Verwijderd @LessRam • 2 september 2014 22:33

Je hoeft toch geen eerlijk antwoord te geven op verplichte beveiligingsvragen. Verzin iets leuks en niemand die via die weg jouw wachtwoord kan resetten.

Trommelrem 2 september 2014 21:22

Huh? Als iemand al dan niet brute force alle veiligheidsvragen kan beantwoorden, dan is het toch gekraakt? Ook als iemand mij het wachtwoord zou geven en ik gebruik dat om ergens zonder toestemming in te komen, dan is dat toch ook kraken?

Wikipedia zegt overigens:

Een computerkraker is iemand die criminele activiteiten met computers uitvoert.

De methode of de gebruikte techniek maakt volgens mij niet zo veel uit.

[Reactie gewijzigd door Trommelrem op 24 juli 2024 03:01]

RobbieB @Trommelrem • 2 september 2014 22:01

Er ging een gerucht dat er gebruik is gemaakt van een brute-force aanval. Dit is nooit bewezen en wordt nu door Apple ontkent.

En zelfs als je het zou proberen, zou je met de meest simpele mogelijkheid 218 triljard mogelijkheden hebben.

Apple geeft aan dat er toegang is verkregen door bv. social-engineering, fishing en/of zwakke wachtwoorden en/of een combinatie van dit alles.

Misschien is er wel eerst een Dropbox account gehackt, waarna er een e-mail adres gehackt is, waarna ze alle e-mail adressen hadden van de betreffende personen. Ook geen bewijs voor. Maar het is natuurlijk veel aantrekkelijk om de schuld bij het grootste elektronica bedrijf ter wereld te leggen, ook al is er geen enkel gefundeerd bewijs voor...

Wat mensen moeten beseffen is dat Apple een beurs-genoteerd bedrijf is. Op het moment dat zij zeggen dat er geen lek in iCloud zit en het blijkt achteraf wel zo te zijn, hebben ze een veel groter probleem dan het nu toe te geven...

Richh

@RobbieB • 2 september 2014 22:48

Er wordt nergens ontkend dat er geen brute force attacks zijn geweest, enkel dat iCloud niet 'gekraakt' is, in de zin van dat iedereen bij de servers kan ofzoiets. Er wordt nergens gesuggereerd dat er 'social engeneering' is gebruikt. En het is wel verdomd toevallig dat dat dan allemaal op dezelfde dag van tientallen mensen naar buiten komt, vlak nadat het bekend is geworden dat brute-force attacks mogelijk waren (dat is wel bevestigd).

Met een klein botnet en een simpel programmaatje is het helemaal niet zo lastig om bizar veel inlogpogingen uit te voeren

Brute force niet afvangen zou ik ook geen lek noemen. Het is gewoon een domme beveiligingsfout die inmiddels natuurlijk is opgelost.

RobbieB @Richh • 2 september 2014 23:04

Ik ga even de advocaat v/d duivel spelen en draai de beredenering even helemaal om. Niet omdat ik het geloof, maar om te laten zien dat het ook anders kan. Dus ik hoop dat iedereen even met me mee denkt.

Er is gezegd dat het ooit mogelijk was een brute-force attack uit te voeren. Maar niemand heeft het kunnen bewijzen. De 'tool' die afgelopen weekend online is verschenen (toevallig vlak nadat de foto's zijn uitgelekt) is door niemand daadwerkelijk gebruikt kunnen worden, alleen maar vage posts, en vage geruchten. Misschien wel gefabriceerde screenshots.

Let wel: Het is voor hackers het winnen van een wereldcup als je een lek gevonden hebt in 1 van de Apple systemen. Maar geen enkele gerenommeerde nieuwssite heeft het kunnen bewijzen.

Het zou goed kunnen zijn dat Apple dit lek al maanden geleden gedicht heeft...

Richh

@RobbieB • 2 september 2014 23:10

Dat zou heel goed kunnen natuurlijk. Je hoort me ook niet zeggen dat alle foto's op deze manier verkregen zouden zijn, maar ik vind het allemaal wel heel toevallig.

Waarom zou het niet plausibel zijn? Apple heeft het lek gedicht, dus gooi je dan alle foto's online (meer gaan het er toch niet worden, dat is het risico van eerder plaatsen) inclusief gebruikte scripts.

Ik krijg een beetje het idee dat heel deze Tweakers reactiebox probeert te verbergen dat dit niet de schuld van Apple is, maar laten we wel zijn: is er iets dat deze theorie tegen spreekt?

RobbieB @Richh • 3 september 2014 09:36

Volgens mij ben je nog altijd onschuldig tot het tegendeel is bewezen. Niet schuldig als het tegendeel niet bewezen is.

Richh

@RobbieB • 3 september 2014 09:53

Ik heb het ook niet over schuldig, ik vind alleen dat er in sommige reacties hier op Tweakers wel heel makkelijk wordt gezegd dat Apple er niks mee te maken had...

curumir @Richh • 3 september 2014 14:18

Volgens mij moet je je vorige reactie nog eens doorlezen.

Ik heb het ook niet over schuldig

Ik krijg een beetje het idee dat heel deze Tweakers reactiebox probeert te verbergen dat dit niet de schuld van Apple is, maar laten we wel zijn: is er iets dat deze theorie tegen spreekt?

Ten eerste is het jouw interpretatie dat het belangrijk is of Apple 'schuldig' is. De enige die daarvan mogen genieten zijn degene die hebben lopen hacken, en blijkbaar is dat een heel grote groep sicko's.
Wat verder wel duidelijk is, is dat Apple een gewild doelwit is. Deels omdat het een populair merk is voor celebs maar ook omdat er in de hele iCloud constructie nogal wat openingen zitten voor social engineering etc.
Nog een keer, de link naar iemand die ietwat verder heeft gekeken dan 'het is wel heel toevallig' en die netwerken heeft opgezocht:
https://www.nikcub.com/po...the-celebrity-data-theft/

drdelta @Trommelrem • 2 september 2014 22:01

Als ik een kopie van jouw sleutel heb, is je slot toch nog niet (fysiek) gekraakt? Je beveiliging, is figuurlijk gezien, natuurlijk gekraakt, maar het systeem is niet "kapot". Het functioneerd naar behoren.

Joerdgs 2 september 2014 21:22

Tja, "beveilingings feature over het hoofd gezien" is technisch gezien niet hetzelfde als "beveiliging gekraakt". Maar niemand die je daar dankbaar voor zal zijn. Ze hoefde alleen maar een rate limiter in te bouwen en dan was het nooit gebeurd.

Plus dat de 2-factor auth omzeilt kon worden was ook niet netjes.

[Reactie gewijzigd door Joerdgs op 24 juli 2024 03:01]

Eswip @Joerdgs • 2 september 2014 21:40

Er staat nergens in dit bericht dat het op die manier is gegaan.. Het lijkt er op dat de "hackers" gewoon de geheime vragen goed hebben geraden. Zoals hierboven al vaker vermeld, dit is niet erg moeilijk bij beroemdheden aangezien deze informatie via Google vaak makkelijk te vinden is.

Richh

@Eswip • 2 september 2014 22:43

Het artikel spreekt toch echt van 'aanvallen' en op het moment dat alle foto's naar buiten kwamen, werd net bekend dat het mogelijk was om passwords te brute-forcen.
Of het echt zo gegaan is zullen we nooit weten, maar 1) het was sowieso mogelijk om het op die manier te doen en 2) het is wel hééél toevallig dat net nadat het bekend was dat je kon brute-forcen, er foto's van tientallen celeberties online verschijnen.

ronaldmathies @Joerdgs • 2 september 2014 21:27

Er staat nergens dat de 2-factor authentication omzeilt is geweest, kans is groot dat ze het nooit ingesteld hebben.

MsG 2 september 2014 21:31

Er wordt bij die geheime vragen ook nooit echt duidelijk neergezet dat je juist niet iets voor de hands liggends moet doen, terwijl de vragen juist altijd heel voor de handliggend zijn. Wat mij betreft stoppen ze overal met geheime vragen, het is een enorm zwak iets.

harrytasker @MsG • 2 september 2014 21:40

Juist ja, als je een vraag krijgt wat de naam is van je eerste huisdier, ga je dan een valse naam opgeven? Natuurlijk niet, vandaar dat je die vragen zelf zou moeten kunnen opstellen en niet voorgeschoteld.

HADES2001 @harrytasker • 2 september 2014 22:07

ja dat doe ik wel, heb letterlijk nog nooit een geheime vraag naar waarheid ingevuld.
Kan er ook met mijn hoofd niet bij dat een normaal denkend persoon niet meteen snapt dat je basisschool te googlen valt en naam van je eerste huisdier vaak nog wel op je facebook staat.
Dus heb ik daar al 14 jaar lang complete onzin ingevuld

eborn @MsG • 3 september 2014 12:26

Het is beter om helemaal geen geheime vraag te hebben en gewoon iedereen een wachtwoord te laten resetten? Want dat is de functie van geheime vragen: een extra drempel voor iets wat anders (zonder 2-factor) door iedereen te doen is.

Als men de inloggegevens van je e-mailadres heeft, vraag ik me überhaubt af waarom je je druk zou maken over deze vragen. Dan heb je namelijk hele andere problemen.

Iekozz

2 september 2014 21:24

Eerst duikt er een kwetsbaarheid op waarmee je kan bruteforcen via Find my iPhone (link) die patched Apple snel, en vervolgens lekken deze afbeeldingen uit.

Lijkt mij dat het een combinatie is geweest van social engineering en met behulp van deze tool. Apple heeft ook gelijk, de beveiliging is niet gekraakt. Maar als je het oneindig keer veel kan proberen heb je wel een probleem.

Helaas schijnt het met de 2 factor authencation van Apple ook niet al te best te zijn: http://www.tuaw.com/2014/...ivacy/?ncid=rss_truncated

HADES2001 @Iekozz • 2 september 2014 21:36

hoe verklaar je dan dat somige foto's al jaren geleden gelekt zijn? een aantal celebs hebben aangegeven dat foto's allang verwijdert waren.
zeker gezien de FBI ook onderzoek doet zal apple nu echt geen leugens gaan vertellen als dat uitkomt kunnen ze wel inpakken

Eswip @Iekozz • 2 september 2014 21:50

Dat klinkt idd niet heel erg goed, dat foto's uit je PhotoStream wel gedownload kunnen worden zonder dat je een two-factor authenticatie moet uitvoeren.

Echter, hiervoor dien je nog steeds het wachtwoord en gebruikersnaam te hebben van het account. Voor zover ik het nu begrijp hebben deze hackers toegang gekregen doormiddel van de secret questions aangezien ze niet in het bezit waren van het wachtwoord. Dat betekent dat ze dus het wachtwoord hebben gereset nadat ze de juiste secret questions hadden ingevuld. Echter als je two-factor authenticatie aan hebt staan, heb je geen secret questions meer. Ben je je wachtwoord vergeten, dan heb je of je trusted device nodig, of de recovery key. Het lijkt er dus op dat de methode die in dit schandaal is gebruikt, niet werkt als je two-factor authenticatie aan hebt staan.

Overigens hoop ik wel dat Apple two-factor authenticatie iets strenger gaat maken zodat je het ook nodig hebt wanneer je een PhotoStream instelt op een nieuw device..

Ntr- 3 september 2014 10:16

Waarom maken mensen uberhaupt naaktfoto's ? En vooral met de mobiel, je kan toch beter gewoon met een fototoestel doen en je geheugenkaartje ergens veilig opbergen

Verwijderd @Ntr- • 3 september 2014 11:03

Ik vind die vraag bijzonder oninterresant. Mensen vinden dat leuk en hoeven zich daar m.i. niet voor te verantwoorden. De vraag is feitelijk waarom er blijkbaar zo makkelijk in te breken is op die iCloud dienst en waarom alles automatisch naar zo'n blijkbaar onveilige dienst word gestuurd. Het gaat immers niet om 2 of 3 geisoleerde gevallen.

Verwijderd @Ntr- • 3 september 2014 11:19

Mensen maken naaktfoto`s, omdat ze een herinnering willen hebben van toen hun lichaam nog jong en gezond was. Ook jij zult op een dag oud zijn en het dan leuk vinden om een foto te hebben van toen je er nog mooi en begeerlijk uit zag.

Op dit item kan niet meer gereageerd worden.

Apple: beveiliging van iCloud is niet gekraakt bij stelen naaktfoto's

Lees meer

De zwakte van wachtwoorden

IT-banen

Reacties (315)

Lees meer

De zwakte van wachtwoorden

IT-banen

Reacties (315)

Sorteer op:

Weergave: