Zou de oorzaak van het gigantische lek dat tal van naaktfoto’s van Amerikaanse bekendheden buitmaakte liggen bij Apple’s iCloud? Op GitHub verscheen een exploit die de Find My iPhone-functie aanwijst als een zwakke plek in iCloud's beveiliging. Intussen heeft Apple het lek gedicht maar ontkent het dat de fout bij iCloud ligt. 

Oorzaak: Find My iPhone

Hoogstwaarschijnlijk is de Find My iPhone-functie van iCloud dé zwakke schakel in Apple’s iCloud-beveiliging. Normaal gezien wordt een account na het meermaals ingeven van foutieve wachtwoorden geblokkeerd. Dat was niet het geval bij Apple’s Find My iPhone dienst.

Hierdoor waren hackers in staat om een lijst van populaire wachtwoorden te gaan gebruiken en deze allemaal te proberen tot ze binnen raakten. Daarna waren ze in staat om foto's uit iCloud te halen.

Aangezien foto's die genomen worden met een iPhone in veel gevallen automatisch worden gesynchroniseerd konden hackers aan deze gegevens geraken. 

iBrute

Op de website Github verscheen er kortgeleden nog een script die deze brute force hack uitvoerde. Het script had de naam iBrute en kon in korte tijd de wachtwoorden van bepaalde iCloud-adressen te kraken. Het lijkt waarschijnlijk dat hackers die tal van deze naaktfoto’s buitmaakten deze, of een soortgelijke hack hebben uitgevoerd.

Intussen zou Apple het lek hebben gedicht en zou het een onderzoek hebben gelanceerd naar de precieze oorzaak van de hack. Ook de FBI zou intussen een onderzoek hebben geopend.

Hoe kan je iCloud beveiligen?

Voor diegenen die hun iCloud-account willen beveiligen tegen deze hack, is het best om de zogenaamde two-factor authentication te activeren op je account. Inloggen kan dan enkel door je wachtwoord in te geven én een bepaalde code in te vullen. Die code krijg je via sms toegestuurd.

Hier kan je two-step authentication activeren om jouw Apple ID extra te beveiligen

*UPDATE:* Intussen ontkent Apple dat er een backdoor aanwezig was in de Find My iPhone-dienst in iCloud. Apple zegt dat de accounts gehackt zijn omdat de wachtwoordsterkte ver te zoeken was. Het blijft dus voorlopig onduidelijk wat de exploit was die de hackers hebben gebruikt. 

Intussen publiceerde Apple al een officiële verklaring: 

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.