Internetový podvodník z USA, vystupujúci pod pseudonymom David, získal v priebehu dvoch rokov prístup k tisícom účtov Apple iCloud. Z online úložiska sa mu podarilo získať viac ako 620 000 fotografií a 9 000 videí prevažne mladých žien. Zároveň sa mu podarilo získať intímne fotografie z viac ako 200 rôznych účtov iCloud.
Internetový podvodník využíval prevažne praktiky sociálneho inžinierstva, kedy sa vydával za zamestnanca spoločnosti Apple. Kontaktoval svoje obete prevažne emailom a pod rôznymi zámienkami sa snažil získať prihlasovacie údaje do služby iCloud. Väčšinou sa vydával za pracovníka technickej podpory, pričom obeť informoval o tom, že jej Apple účet bol ohrozený phishingovým útokom a pre vyriešenie incidentu potrebuje prihlasovacie údaje obete.
Podľa dostupných informácií podvodník rozoslal viac ako pol milióna emailových správ, v ktorých vystupuje ako zamestnanec Apple. Americkej FBI sa podarilo identifikovať v službe Gmail dva emailové účty “applebackupicloud” a “backupagenticloud”, ktoré obsahovali takmer 5 000 emailov s prihlasovacími menami a heslami k rôznym Apple účtom. Úradom sa už podarilo zadržať 40 ročného muža z Los Angeles, ktorý je aktuálne obvinený zo 4 rôznych zločinov.
Hackovanie iCloud účtov ako biznis
Ešte pred tým, ako sa podarilo internetového podvodníka zadržať, sa objavila na internete (darknete) ponuka, za ktorou stál rovnaký človek. V tomto prípade ponúkal hackovanie Apple iCloud účtov ako službu za peniaze. Podľa zistení vyšetrovateľov bolo v tomto prípade zapojených viacero páchateľov, ktorí spolupracovali – snažili sa získať prístup k iCloud účtom na objednávku, veľakrát úspešne.
Dnešný prípad nie je prvým väčším únikom súkromných fotografií a videí zo služby iCloud. Už v roku 2014 a neskôr v roku 2017 sa objavili na internete uniknuté fotografie rôznych celebrít, ktoré ich mali uložené v online službe iCloud. Medzi obeťami sa vtedy ocitli aj herečky Jennifer Lawrence, Emma Watson alebo známa speváčka Rihanna.
V tej dobe bola objavená aj zraniteľnosť v API webovej službe iCloud, ktorá umožňovala útok hrubou silou (neobmedzené skúšanie hesla k Apple účtu). Avšak dodnes nie je potvrdené, či bola zneužitá práve táto zraniteľnosť, alebo sa jednalo opäť o využitie praktík sociálneho inžinierstva.
Osobné fotografie, online úložiská a bezpečnosť
Úplne najdôležitejšie je uvedomiť si, že akonáhle nahráte svoju súkromnú fotografiu na online úložisko ako iCloud, OneDrive alebo iné, tak strácate nad ňou svoju kontrolu. Ak cloudový systém obsahuje zatiaľ neodhalenú zraniteľnosť, tak existuje vždy možnosť, že sa k súkromným fotografiám a videám dostane tretia osoba. Nehovoriac o tom, že dáta sú uložené na serveroch, ku ktorým majú prístup minimálne stovky rôznych zamestnancov. Rovnako vždy hrozí riziko phishingu alebo premysleného sociálneho inžinierstva, cez ktoré útočník získa prístup k vášmu online účtu – teda ku všetkým fotografiám, videám a dátam.
V prípade, že chcete minimalizovať riziko neautorizovaného prístupu k vašim fotografiám, existujú aj bezpečnejšie alternatívy. Môžete si zriadiť domáce úložisko tzv. NAS, na ktoré si môžete zálohovať svoje fotografie priamo z telefónu cez domácu WiFi sieť. Rovnako si viete cez WiFi sieť prezerať fotografie a videá aj na iných zariadeniach. Takto vaše fotografie a videá neopustia vašu domácu sieť a máte ich pod kontrolou. V prípade, že chcete využívať online úložiská, tak sa vždy riaďte jednou jednoduchou zásadou. Nahrávajte na ne len fotografie, pri ktorých vám nevadí, ak ich uvidí celý svet. Ak existuje fotografia, za ktorú by ste sa hanbili, radšej ju nikam nenahrávajte.
Článok bol pripravený v spolupráci so službou SAFELab – kurzy IT bezpečnosti.