Waardeloze beveiliging iCloud maakte hack filmsterren mogelijk

Abonneer je gratis op Techzine!

De FBI heeft de computers van een man uit Chicaco in beslag genomen. Hij wordt verdacht van het hacken van de iCloud-accounts van veel bekende filmsterren om vervolgens naaktfoto’s van tientallen filmsterren online te publiceren Uit het onderzoeksdocument van de FBI blijkt dat de beveiliging van iCloud veel te wensen over liet.

Vorig jaar was het internet in rep en roer toen er ineens honderden naaktfoto’s van allerlei bekende filmsterren online verschenen. Er werd al snel een naam gehangen aan het uitlekken van de foto’s; The Fappening. De foto’s zijn inmiddels verspreidt naar zoveel locaties dat het onmogelijk is om deze ooit nog van het internet af te krijgen.

In het begin werd al snel gewezen naar Apple’s iCloud als mogelijke bron van alle foto’s. De FBI heeft nu in een onderzoeksdocument bevestigd dat de foto’s daar inderdaad vandaan komen. Volgens de FBI is de man in een jaar tijd ingelogd op meer dan 572 iCloud-accounts, deze bezocht hij vervolgens 3263 keer. De man deed dit overigens vanaf hetzelfde ip-adres, wat hij ook via dat ip-adres deed waren bijna 2000 pogingen om iCloud-wachtwoorden te resetten.

Het mag duidelijk zijn dat als iemand probeert om 2000 keer een wachtwoord te resetten vanaf hetzelfde ip-adres van verschillende accounts we niet langer te maken hebben met een gebruiker die zijn wachtwoord is vergeten, maar met een kwaadwillend persoon. De beveiliging van Apple schoot echter te kort om dit soort misbruik te detecteren wat er uiteindelijk toe heeft geleid dat de accounts zijn gehackt en de foto’s buitgemaakt.

Van de iCloud-accounts die door het ip-adres werden bezocht verschenen vervolgens foto’s online. De FBI heeft de man nog niet aangeklaagd, waarschijnlijk moet de FBI ook nog hard kunnen maken dat hij degene is die de hacks heeft verricht en de computers op dat moment bedienden.

De FBI laat verder weten dat er op verschillende manieren wachtwoorden zijn buitgemaakt, onder andere door antwoorden op geheime vragen te raden zodat het wachtwoord opnieuw kon worden ingesteld, maar ook door middel van phishingmethodes.

De FBI onderzoekt de zaak nog steeds, maar de computers werden al in oktober in beslag genomen en tot op heden is de man nog niet aangeklaagd. De vraag is of de man ermee gaat wegkomen of dat hij alsnog zal worden aangeklaagd.

Apple heeft na het uitlekken van de foto’s van de filmsterren ook zelf onderzoek gedaan. Vervolgens zijn allerlei extra beveiligingsmaatregelen genomen en toegevoegd aan de iCloud. Inmiddels zou het niet langer mogelijk moeten zijn om zo eenvoudig accounts te hacken.