Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?

Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?03.09.2014 15:11
Źródło zdjęć: © Apple

Na początku tego tygodnia portale plotkarskie obiegła informacja o wycieku prywatnych zdjęć dziesiątek amerykańskich gwiazd. Niezidentyfikowany do teraz haker w sobie znany sposób zyskał dostęp do olbrzymiego zbioru materiałów fotograficznych, a nawet - jak sam zapewniał - wideo, z całą pewnością nieprzeznaczonych do publicznego rozpowszechniania. Teraz, kilka dni później, o całej sprawie wiadomo już nieco więcej i można jej się przyjrzeć z tego ciekawszego, technologicznego punktu widzenia. W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za rozpowszechnianie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?

W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za powielanie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?

Większość serwisów i specjalistów, komentujących sprawę, zgadza się co do jednego - zdjęcia zostały przez hakera (bądź hakerów) wykradzione z kont iCloud gwiazd. Ta apple'owska usługa automatycznie kopiuje zdjęcia, wykonywane telefonem firmy, na jej serwery. Główną rolą tego rozwiązania jest oczywiście zapewnianie kopii bezpieczeństwa i dawanie dostępu do fotografii z wielu różnych urządzeń - telefonu, komputera czy tabletu. Wszystkie one powinny rzecz jasna należeć do właściciela zdjęć, nie do obcej osoby z internetu, jak stało się w tym przypadku.

Jak do tego doszło?

Apple z całą mocą zaprzeczył, jakoby doszło w ostatnim czasie do jakiegokolwiek naruszenia bezpieczeństwa usługi iCloud.

- Kiedy dowiedzieliśmy się o kradzieży, natychmiast zmobilizowaliśmy inżynierów Apple w celu odnalezienia jej źródła. Bezpieczeństwo i prywatność naszych klientów są dla nas niezmiernie ważne. Po ponad 40 godzinach dochodzenia odkryliśmy, że określone konta celebrytów zostały naruszone w bardzo konkretnie wymierzonym ataku na nazwy użytkowników, hasła i pytania bezpieczeństwa. To praktyka, która stała się ostatnio aż zbyt powszechna w internecie. W żadnym z badanych przez nas przypadków nie doszło do naruszenia bezpieczeństwa usług Apple'a, w tym iCloud czy Znajdź mój iPhone - napisała firma w oficjalnym oświadczeniu.

Specjaliści od bezpieczeństwa również nie odkryli w tych dniach żadnego błędu, który mógłby umożliwić osobie niepowołanej uzyskanie dostępu do czyichś prywatnych zdjęć. Dużo bardziej prawdopodobne - bo również potencjalnie znacznie łatwiejsze - wydaje się, że hakerzy zastosowali połączenie inżynierii społecznej, phishingu i... dobrego wywiadu środowiskowego.

Odpowiedzialni za atak wybrali sobie na cel konkretne osoby i dostępnymi sobie metodami, pojedynczo zdobywali dostęp do konta każdej z nich. Dość powszechnie zauważa się teraz, że w dużej części przypadków do zyskania nieautoryzowanego dostępu wystarczyło zebranie odpowiedniej ilości łatwo dostępnych informacji. Jedna z ofiar ataku, Jennifer Lawrence, przyznała niedawno w wywiadzie, że w jej adresie mailowym znajduje się ważne dla niej słowo. W połączeniu z innymi danymi mogło to wystarczyć hakerowi do _ odgadnięcia _ adresu e-mailowego, na które zarejestrowane jest konto gwiazdy. A to tylko jeden z przykładów.

Kiedy włamywacz znał już adres mailowy ofiary, jego dalsze postępowanie mogło pójść jedną z dwóch ścieżek. W łatwiejszym przypadku korzystał on z opcji odzyskiwania hasła, dostępnej na urządzeniach Apple. Tutaj potrzebna była jedynie data urodzenia i odpowiedź na "sekretne pytanie". Wystarczyło, że gwiazda pytała o coś, co można znaleźć w powszechnie dostępnych źródłach. Nikomu nie trzeba chyba mówić, że jeżeli chodzi o informacje na temat tych osób, to istnieje _ olbrzymia liczba powszechnie dostępnych źródeł _.

Alternatywnie hakerzy mogli uciec się do phisingu. Znając adres mailowy ofiary wysyłali więc linka do odpowiednio spreparowanej strony iTunes czy iCloud, wymagając zalogowania się w fikcyjnym celu i w ten sposób przechwytywali hasła.

To oczywiście tylko przykładowe ścieżki działania, którymi mogli podążać atakujący. Najprawdopodobniej musieli oni dostosowywać swoje podejście do każdej z ofiar. Jedno jest w tej sytuacji pewne - zdjęcia te nie zostały wykradzione w przeciągu dni czy nawet tygodni. Była to długotrwała operacja, która ciągnęła się całymi miesiącami (haker, który udostępnił zdjęcia, napisał o "kilku miesiącach ciężkiej pracy wszystkich zainteresowanych"), a może nawet latami. Pojawiają się przy okazji informacje o tym, że nie wszystkie zdjęcia pochodziły z kont iCloud - nietrudno przecież uwierzyć, że część ofiar korzysta z telefonów z Androidem czy usługi Dropbox, która uznawana jest w tej chwili za "podejrzaną" w przynajmniej jednym przypadku.

Źródło zdjęć: © Jennifer Lawrence, jedna z ofiar ataku (fot. ONS.pl)
Źródło zdjęć: © Jennifer Lawrence, jedna z ofiar ataku (fot. ONS.pl)

Co za to grozi?

Dość interesujący jest również wątek odpowiedzialności karnej, która może spotkać zarówno włamywaczy, jak i osoby rozpowszechniające te zdjęcia. Najbardziej oczywista kwestia dotyczy tych pierwszych - tutaj zastosowanie będzie miała amerykańska ustawa o oszustwach i nadużyciach komputerowych (Computer Fraud and Abuse Act), przewidująca wieloletnie kary więzienia za ataki hakerskie. Do tego dołożyć można ustawę o prywatności w komunikacji elektronicznej (Electronic Communications Privacy Act), której postanowienia hakerzy naruszyli rozpowszechniając publicznie należące do kogoś, prywatne treści.

Do tych dwóch przepisów można jeszcze dołożyć ustawę o prawie autorskim (rozpowszechniający nie byli przecież autorami tych fotografii, można więc ich ścigać i z tego paragrafu) czy nawet o rozpowszechnianiu pornografii dziecięcej. Jest niemal pewne, że przynajmniej jedna z dotkniętych atakiem gwiazd nie miała 18 lat w momencie wykonywania zdjęć. W jej przypadku więc konsekwencje mogą być bardzo poważne, nie tylko dla kradnących i rozpowszechniających, ale i również - potencjalnie - dla pobierających.

- Pornografia dziecięca jest toksyczna. Dotyka na każdego, kto wejdzie z nią w kontakt. Nawet ludzie, którzy ściągnęli [te zdjęcia] mogą być pociągnięci do odpowiedzialności - powiedział serwisowi _ Mashable _ Eric Goldman, profesor prawa internetowego na uniwersytecie w Santa Clara.

Czy może to spotkać również mnie?

Czy na podobne naruszenie prywatności i to, że ktoś zyska dostęp do naszych prywatnych zdjęć czy filmów, narażony jest w równym stopniu każdy z nas? Odpowiedź, w największym skrócie, brzmi: nie. Przynajmniej w opisywanym przypadku wyraźnie widać, że atak dotyczył bardzo konkretnych osób, cieszących się publicznym zainteresowaniem, o którym większość z nas może jedynie pomarzyć. Ten akurat atak nie powinien być więc dla nikogo powodem do _ zwiększonego _ strachu o własne, przechowywane w chmurze informacje. Metody hakerskie, zastosowane w przypadku gwiazd, raczej nie zadziałałyby na większość z nas. Prywatne zdjęcia osób nieznanych publicznie byłyby znacznie bardziej zagrożone w przypadku incydentu bezpieczeństwa, dotyczącego całej usługi, w efekcie którego hakerzy mogliby zyskać dostęp do zdjęć osób, o których nikt nie wiedzą.

Oczywiście to, że po opisywanym ataku nie powinniśmy zacząć martwić się _ bardziej _, nie oznacza absolutnie, że wszystkie dane przechowywane w chmurze są całkowicie bezpieczne. Informacje szczególnie cenne i fotografie szczególnie prywatne powinniśmy dla pełnego komfortu przechowywać tylko i wyłącznie na własnym urządzeniu, nie zostawiając ich w żadnej formie w internecie.

Szukasz laptopa w atrakcyjnej cenie? Kliknij i sprawdź oferty!

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA