Apple erkänner hur kändisars konton hackades

icloud hackApple har nu efter sin egen undersökning erkänt hur kändisarnas konton hackades och hur deras nakenbilder hamnade på internet. Det handlade inte som många trodde om fall utav social hacking där t.ex. kändisarnas assistenter lurats att lämna ut lösenorden. Det rörde sig istället om en Brute force attack som specifikt inriktade sig på och knäckte lösenorden till kändisarnas konton. ( Nya rapporter gör gällande att det skulle ha rört sig om Phishing istället.  Det är möjligt att olika tekniker har använts på olika konton) Apple försäkrar att iCloud servicen i sig inte hackats utan enbart kändisarnas konton. Detta känns som en mycket klen tröst för mig som användare och troligen också för kändisarna som nu inte bara en gång utan två fått se nakenbilder spridda på nätet. Bland kändisar som fått se nakenbilder på dem själva spridda över internet återfinns Kim Kardashian, Vanessa Hudgens, Hope Solo, Jennifer Lawrence, Ariana Grande, Victoria Justice, Jenny McCarthy, Kate Upton, Mary E. Winstead och Kaley Cuoco.

kandisar

Det spekuleras om att ett Python script som släpptes på GitHub förra månaden har använts för att utföra dessa hack.

Att det är möjligt att använda sig av en brute force attack för att få tillgång till konton hos ett så stort företag som Apple är enligt mig helt oacceptabelt. Att begränsa antalet inloggningsförsök som en användare kan göra varje sekund, minut, timme och dag är en av de allra mest grundläggande delarna av de säkerhetstänkande alla företag måste tillämpa. Man bör bara kunna försöka logga in på ett konto ett visst antal gånger under en tidsperiod innan det helt stängs ner under en period. Detta är ett mycket enkelt sätt att förhindra denna typ av hacking.

Det är sant att Apple och iCloud normalt förhindrar att man försöker logga in med många olika lösenord och att denna attack gjordes möjlig av att denna begränsning av misstag inte tillämpades vid användandes av en viss funktion. Det spekuleras i att denna funktion var ”find my phone”. Detta har dock ifrågasatts efter att Tom Cook sa att denna funktion inte hade komprometterats. Om funktionen tillät ett obegränsat antal lösenordsgissningar och användes för att hitta rätt lösenord som sedan användes för att logga in i iCloud så är dock det uttalandet sant även om ”find my phone” var verktyget som användes för att få lösenorden. ”find my phone” hackades eller komprometterats inte. Det var bara ett verktyg som gjorde attacken möjlig. Tom Cooks uttalande är alltså sant oavsett om ”find my phone” användes eller inte. Oavsett om detta var det verktyg de använde eller inte så är det uppenbart att Apple hade (eller har) en säkerhetslucka som tillät hackers att använda en metod som gjorde det möjligt att få ett obegränsat antal lösenordsgissningar.

Detta är inte acceptabelt. Inte från ett företag av Apples storlek eller från ett företag som Apple som hävdar sig vara det bästa alternativet på marknaden.

Situation hjälps inte heller av att Apple vägrar ta något ansvar trots att det var deras infrastruktur och brister i denna som orsakade dessa problem. Det faktum att de lovar att jobbar ännu hårdare för att garantera allas säkerhet känns i sammanhanget inte särskilt betryggande. Inte när deras system och dess brister gjorde allt möjligt.