Хакер объяснил, как воровать интим-фото знаменитостей

Узнав об утечке в паблик сотен приватных фотографий с мобильных телефонов голливудских звёзд, австралийский хакер Ник Кубрилович (Nik Cubrilovic) провёл собственное расследование этого инцидента. Его статья представляет некоторый интерес не только из-за последних событий, но и как анализ всего подпольного рынка конфиденциальной информации.

В ходе расследования Ник Кубрилович открыл для себя развитую индустрию подпольной торговли фотографиями знаменитостей. По его словам, взломы аккаунтов осуществляются постоянно. Чуть ли не ежедневно кто-то предлагает на продажу фотографии той или иной обнажённой звезды. То, что выкладывают на AnoniB, 4Chan и Reddit (Imgur) — лишь крохотная часть из огромного числа фотоколлекций, которые распространяются частным образом и редко попадают в открытый доступ.

Как и положено развитой индустрии, здесь действуют профессионалы узкого профиля. Одни изучают профили в Facebook и другие открытые источники, пытаясь собрать как можно больше данных о жертве. Для этого можно внедриться во «френды» и использовать социальную инженерию.

На следующем этапе включаются другие специалисты: они используют социальную инженерию, фишинг и прочие методы, чтобы узнать пароли или токены аутентификации (их добывают с компьютера жертвы с помощью троянов).

Из облачных сервисов резервного копирования iPhone, Android и Windows Phone скачивается вся конфиденциальная информация, фотографии раскладываются по папкам, создаются «копии для предпросмотра» с закрытыми фрагментами кадра. Их публикуют в интернете, с указанием цены на каждую фотографию.

[tjournal.ru, 01.09.2014, "Хакеры устроили масштабный "слив" интимных фото со смартфонов звёзд": Согласно первым сообщениям в соцсетях, утечку устроил пользователь 4chan, который через закрытый чат предложил пользователям сети приобрести снимки звёзд за биткоины. В подтверждение «качества товара» он предложил скриншот с целой галереей ранее ещё не опубликованных фото и видео Дженнифер Лоуренс с чёрными полосами.

Позже он же начал публиковать фотографии на 4chan одну за другой, добавив, что «пусть они лучше достанутся вам, чем TMZ». По его словам, таблоид предлагал ему шестизначные суммы за полный архив. — Врезка К.ру]

Самый популярная платформа для взлома — iCloud, поскольку в iOS включена по умолчанию функция резервного копирования Picture Roll, а для восстановления пароля нужно ответить на два «секретных» вопроса. В Windows Phone функция выключена по умолчанию, а в Android вообще отсутствует.

Ник Кубрилович пишет, что взлом аккаунтов знаменитостей — очень распространённое явление. Каждый день на форумах публикуются десятки сообщений с предложением таких услуг, доступна подробная и помощь от «коллег» по каждому этапу взлома.

[softodrom.ru, 02.09.2014, "Apple устранила уязвимость, которую могли использовать для взлома айфонов знаменитостей": Совпадение это или нет, но за день до этой массовой утечки личных фото на GitHub был выложен proof-of-concept код эксплойта, позволяющего взломать Apple ID путем брутфорс-атаки. Выложенный код использовал уязвимость в функции Find My iPhone, предназначенной для поиска потерянных или украденных смартфонов. Обычно система позволяет вводить ошибочный пароль только определенное число раз, чтобы исключить возможность подбора пароля злоумышленниками, однако эксплойт позволял обойти это ограничение и вводить пароль любое число раз, что открывало возможности для брутфорс-атаки.

Теперь Apple пофиксила данную уязвимость и попытки использовать этот эксплойт для брутфорс-атаки приводят к локауту.

Тем не менее, даже если хакеры действительно использовали эту уязвимость, то непонятно, каким образом они узнали Apple ID (он представляет собой емейл-адрес) такого большого числа знаменитостей, учитывая тот факт, что известные люди обычно не афишируют свои личные емейлы, чтобы защититься от назойливых поклонников. Впрочем, возможно, что к этим же емейлам были привязаны их официальные аккаунты в соцсетях, и в этом случае емейлы можно было просто угадать, зная несколько символов, которые можно узнать с помощью функции восстановления пароля (это возможно, например, в Facebook, Twitter и Instagram) — Врезка К.ру]

****

Откровенные фото Дженнифер Лоуренс и еще десятков знаменитостей утекли через iCloud

Личные фото некоторых знаменитостей, включая Дженнифер Лоуренс, Кейт Аптон и Ариана Гранде были опубликованы анонимным хакером на сайте 4Chan. Судя по всему, утечки стали возможными благодаря взлому аккаунтов от облачного хранилища Apple iCloud, в которое автоматически копируется информация со всех устройств Apple, о чем большинство пользователей даже не задумываются.

Пока речь не идет о какой-то глобальной уязвимости в сервисе, возможно, девушки стали жертвами целевых атак и каждый аккаунт был скомпрометирован отдельно, а информация накапливалась в течение продолжительного времени.

Пресс-секретарь Дженнифер Лоуренс сделал заявление, подтверждающее, что фотографии являются подлинными:



Мэри Элизабет Уинстэд также подтвердила подлинность фотографий:



А вот Виктория Джастис утверждает, что снимки поддельные [...]

Список актрис, который был опубликован на 4Chan:

Jennifer Lawrence, Aly and AJ Michalka, Aubrey Plaza, Abby Elliott, Avril Lavigne, Amber Heard, Brie Larson, Candice Swanepoel, Cara Delevigne, Emily Ratjakowski, Farrah Abraham, Gabrielle Union, Hayden Pannettiere, Hope Solo, Hillary Duff, Jenny McCarthy, Kayley Cuoco, Kate Upton, Kate Bosworth, Keke Palmer, Kim Kardashian, Kirsten Dunst, Krysten Ritter, Lea Michele, Lizzy Caplan, Mary Kate Olsen, Mary Elizabeth Winstead, Rihanna, Scarlet Johansson, Selena Gomez, Vanessa Hudgens, Wynona Ryder, Alison Brie and Dave Franco. [...]

В 2011 году во Флориде 36-летний Кристофер Чейни был арестован после того, как взломал учетные записи электронной почты Скарлетт Йоханссон и 49 других знаменитостей, в результате он был осужден на 10 лет тюрьмы.

Совсем недавно активисты из группировки Shaltay Boltay похитили данные с двух iPhone Дмитрия Медведева, включая фотографии, СМС и данные приложений. Учитывая ограниченный доступ к телу премьера, специалисты сходятся во мнении, что эта утечка также произошла через облако Apple iCloud.