Svak iCloud-sikkerhet både hos Apple og brukerne kan ha skylden for innbrudd. (Foto: Thomas Marynowski)

FBI etterforsker iCloud-innbrudd

Eksperter oppfordrer til økt sikkerhet.

I går ble det kjent at et eksepsjonelt stort antall personlige bilder til diverse kvinnelige kjendiser ble stjålet og lagt ut på nettet, de fleste av dem genuine.

Det som først var en ren kjendis-skandale ble raskt en sikkerhetsskandale også.

Bildene stammer nemlig fra kjendisenes iCloud-kontoer, som viste seg å være oppsiktsvekkende enkle å få tilgang til.

Det er ikke helt avklart hvordan innbruddet skjedde, men bildene dukket først opp på det kontroversielle nettforumet 4chan, og ble deretter spredd over mange andre bildedelingsnettsteder.

En teori er at et såkalt «brute force»-angrep kunne vært anvendt. Dagen før lekkasjen ble koden som kunne gjort angrepet mulig lastet opp til kodedelingssiden GitHub, og denne lot brukerne å utnytte en svakhet i Find My iPhone-applikasjonen. Koden kunne overvelde innloggingssiden til tjenesten med påloggingsforsøk uten at man ble stengt ut. Det eneste som var nødvendig var epost-adressen til eieren av kontoen. Deretter kunne man masseangripe tjenesten til riktig passord ble gjettet frem til. Problemet er selvsagt også for svake passord, men den lave sikkerheten gjorde det mulig å presse seg inn i systemet.

Koden, kalt «iBrute», ble opprinnelig vist frem av russiske sikkerhetseksperter tidligere i sommer.

Apple har i etterkant patchet svakheten, og angrepsmetoden fungerer ikke lenger.

Det er ikke helt sikkert at denne koden hadde konkret sammenheng med tyveriet av bildene, men sannsynligheten er der.

Apple har uttalt seg om innbruddet, og selskapets talsperson sier at de etterforsker hendelsen aktivt, og at de tar sikkerheten svært alvorlig. Også FBI uttaler at de ser på saken.

Flere sikkerhetseksperter, blant annet selskapet FireEye, sier (via Re/Code) at ifølge deres analyser virket angrepet til å ha vært ganske ukomplisert, og at det kunne vært ungått med én enkel metode - nemlig tostegs-autentisering av passord, som krever at ukjente nettlesere eller enheter må taste inn en ekstra kode før de får tilgang til kontoen.

En lærdom er altså at private bilder er ikke sikre, og det å aktivere tostegs-verifisering for iCloud er det minste man kan gjøre.

    Les også:

Til toppen