Một lỗ hổng trong dịch vụ Find My iPhone của Apple có thể đứng sau một cuộc tấn công dẫn đến việc hàng trăm tài khoản iCloud của người nổi tiếng bị xâm nhập.
cách chọn văn bản trong sơn
Một tập lệnh Python bằng chứng về khái niệm được phát triển bởi HackApp vì vũ phu cưỡng bức iCloud đã bị phát tán trên mạng vài ngày trước khi những bức ảnh khỏa thân của 17 phụ nữ nổi tiếng, bao gồmTrò chơi đóinữ diễn viên Jennifer Lawrence vàScott Pilgrimnữ diễn viên chính Mary E Winstead xuất hiện trực tuyến - dường như bị đánh cắp tài khoản iCloud của họ.
Tin tặc này tuyên bố có tổng cộng hơn 100 hình ảnh của nữ nhân vật nổi tiếng.
Mã này dường như cho phép những kẻ tấn công đoán mật khẩu liên tục thông qua Tìm iPhone của tôi mà không kích hoạt khóa hoặc cảnh báo mục tiêu.
Sau khi mật khẩu được phát hiện, kẻ tấn công có thể sử dụng nó để truy cập các khu vực khác của iCloud.
Apple kể từ đó đã vá lỗ hổng, mặc dù có tuyên bố được thực hiện trên Reddit rằng bản vá chỉ hoạt động ở một số khu vực nhất định.
Tuy nhiên, nhà nghiên cứu bảo mật Graham Cluley đã tuyên bố rằng thật khó tin rằng điều này có thể được sử dụng thành công đối với một số lượng lớn tài khoản mà không bị phát hiện trong một khoảng thời gian ngắn.
Một lựa chọn khác được Cluley và các nhà nghiên cứu khác đưa ra là các nạn nhân của cuộc tấn công có một mật khẩu dễ đoán hoặc các câu trả lời đặt lại mật khẩu.
Nhiều trang web cung cấp cho bạn tùy chọn 'quên mật khẩu' hoặc yêu cầu bạn vượt qua vòng lặp bằng cách trả lời 'câu hỏi bí mật' để chứng minh danh tính của bạn, Cluley nói.
Tuy nhiên, trong trường hợp của một người nổi tiếng, có thể đặc biệt dễ dàng xác định tên của con vật cưng đầu tiên của họ hoặc tên thời con gái của mẹ họ bằng một tìm kiếm đơn giản trên Google, ông nói thêm.
Rik Ferguson, một nhà nghiên cứu bảo mật của Trend Micro, cũng nói rằng Việc ‘hack’ iCloud của Apple trên diện rộng là điều khó có thể xảy ra, chỉ ra rằng ngay cả người đăng ban đầu cũng không tuyên bố đó là trường hợp.
Anh ta, giống như Cluley, cho rằng kẻ tấn công có thể đã sử dụng liên kết Tôi quên mật khẩu của mình nếu họ đã biết và có quyền truy cập vào địa chỉ email mà nạn nhân đang sử dụng cho iCloud. Ông cũng cho rằng những người nổi tiếng được đề cập có thể đã trở thành nạn nhân của một cuộc tấn công lừa đảo.
Phản ứng trên Twitter và các mối đe dọa pháp lý
Trong khi những bức ảnh ban đầu bị rò rỉ trên 4chan, không mất nhiều thời gian để những bức ảnh của Jennifer Lawrence nói riêng bắt đầu xuất hiện trên Twitter.
Trong vòng khoảng hai giờ, Twitter đã bắt đầu đình chỉ tất cả các tài khoản đã đăng bất kỳ bức ảnh bị đánh cắp nào, nhưng theo một dòng thời gian từGương , mạng xã hội đang chơi một trò chơi đánh tráo, với những bức ảnh mới tiếp tục xuất hiện trong hơn một giờ sau khi nó bắt đầu hoạt động.
Mary E Winstead đã tự mình lên Twitter để kêu gọi cả người đã xuất bản những bức ảnh và những người đang xem chúng.
Gửi tới những người trong số các bạn đang xem những bức ảnh tôi chụp với chồng tôi cách đây nhiều năm trong sự riêng tư của ngôi nhà của chúng tôi, hy vọng các bạn cảm thấy tuyệt vời về bản thân mình.
- Mary E. Winstead (@M_E_Winstead) Ngày 31 tháng 8 năm 2014
Tuy nhiên, cuối cùng cô ấy đã phải rút khỏi nền tảng để tránh xa những tin nhắn lăng mạ mà cô ấy đang nhận được
Đang ngắt kết nối internet. Hãy thoải mái đến với @ của tôi để có một cái nhìn thoáng qua về việc một người phụ nữ lên tiếng về bất cứ điều gì trên twitter sẽ như thế nào
- Mary E. Winstead (@M_E_Winstead) Ngày 1 tháng 9 năm 2014
các nhóm menu bắt đầu của windows 10
Người phát ngôn của Jennifer Lawrence đã cho biết họ sẽ theo đuổi hành động pháp lý chống lại bất kỳ ai phát tán các bức ảnh.
Đây là một sự vi phạm rõ ràng về quyền riêng tư. Họ cho biết các nhà chức trách đã được liên hệ và sẽ truy tố bất kỳ ai đăng những bức ảnh bị đánh cắp của Jennifer Lawrence.
Năm 2011, hành động tương tự đã được thực hiện khi email của 50 người nổi tiếng bao gồm Scarlett Johansson và Christina Aguilera, bị tấn công và ảnh khỏa thân bị đánh cắp và phổ biến công khai.
Sau cuộc điều tra của FBI, thủ phạm, Christopher Chaney ở Jacksonville, Florida, đã bị kết án 10 năm tù.
Các biện pháp đối phó an ninh
cách thêm âm thanh vào google slide
Mặc dù những người không phải là người nổi tiếng ít có khả năng bị phát tán ảnh khỏa thân của họ khá rộng rãi như của một người nổi tiếng, nhưng điều đó vẫn có thể xảy ra.
Các chuyên gia bảo mật cho biết sự cố này sẽ là một lời nhắc nhở về tầm quan trọng của việc áp dụng các biện pháp bảo mật hiệu quả cho bất kỳ dịch vụ trực tuyến nào và khuyến khích người dùng lưu tâm đến những gì được tải lên đám mây.
Với việc các thiết bị ngày nay rất muốn đẩy dữ liệu lên các dịch vụ đám mây tương ứng của riêng chúng, mọi người nên cẩn thận rằng phương tiện nhạy cảm không được tự động tải lên web hoặc các thiết bị được ghép nối khác, Chris Boyd, nhà phân tích tình báo phần mềm độc hại tại Malwarebytes, cho biếtPC Pro.
Ferguson cho rằng có thể những người là nạn nhân của cuộc tấn công đã quên hoặc không nhận ra rằng Apple tự động đồng bộ hóa ảnh trong Kho ảnh trên iPhone hoặc iPad của người dùng với iCloud của họ.
Trong trường hợp này, có vẻ như một số nạn nhân tin rằng việc xóa ảnh khỏi điện thoại của họ là đủ, ông nói.
Cả Boyd và Ferguson đều khuyên bạn nên tìm hiểu xem các bản sao lưu hoặc bản sao ẩn của dữ liệu được lưu trữ trong dịch vụ đám mây có được thực hiện hay không và cách quản lý chúng.
Stefano Ortolani, nhà nghiên cứu bảo mật tại Kaspersky Lab, cũng đề xuất người dùng nên chọn dữ liệu nào được lưu trữ trên đám mây và tắt tính năng tự động đồng bộ hóa.
Bạn cũng có thể tranh luận rằng điện thoại thông minh, được kết nối liên tục với internet, không phải là nơi tốt nhất để chụp ảnh khỏa thân, Boyd nói - một ý kiến được Cluley và Ferguson lặp lại.
PC Prođã liên hệ với Apple để hỏi liệu công ty có biết về vụ hack trên diện rộng đối với dịch vụ iCloud của mình hay không, nhưng chưa nhận được phản hồi vào thời điểm xuất bản.