Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?
Na początku tego tygodnia portale plotkarskie obiegła informacja o wycieku prywatnych zdjęć dziesiątek amerykańskich gwiazd. Niezidentyfikowany do teraz haker w sobie znany sposób zyskał dostęp do olbrzymiego zbioru materiałów fotograficznych, a nawet - jak sam zapewniał - wideo, z całą pewnością nieprzeznaczonych do publicznego rozpowszechniania. Teraz, kilka dni później, o całej sprawie wiadomo już nieco więcej i można jej się przyjrzeć z tego ciekawszego, technologicznego punktu widzenia. W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za rozpowszechnianie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?
W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za powielanie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?
Większość serwisów i specjalistów, komentujących sprawę, zgadza się co do jednego - zdjęcia zostały przez hakera (bądź hakerów) wykradzione z kont iCloud gwiazd. Ta apple'owska usługa automatycznie kopiuje zdjęcia, wykonywane telefonem firmy, na jej serwery. Główną rolą tego rozwiązania jest oczywiście zapewnianie kopii bezpieczeństwa i dawanie dostępu do fotografii z wielu różnych urządzeń - telefonu, komputera czy tabletu. Wszystkie one powinny rzecz jasna należeć do właściciela zdjęć, nie do obcej osoby z internetu, jak stało się w tym przypadku.
Jak do tego doszło?
Apple z całą mocą zaprzeczył, jakoby doszło w ostatnim czasie do jakiegokolwiek naruszenia bezpieczeństwa usługi iCloud.
- Kiedy dowiedzieliśmy się o kradzieży, natychmiast zmobilizowaliśmy inżynierów Apple w celu odnalezienia jej źródła. Bezpieczeństwo i prywatność naszych klientów są dla nas niezmiernie ważne. Po ponad 40 godzinach dochodzenia odkryliśmy, że określone konta celebrytów zostały naruszone w bardzo konkretnie wymierzonym ataku na nazwy użytkowników, hasła i pytania bezpieczeństwa. To praktyka, która stała się ostatnio aż zbyt powszechna w internecie. W żadnym z badanych przez nas przypadków nie doszło do naruszenia bezpieczeństwa usług Apple'a, w tym iCloud czy Znajdź mój iPhone - napisała firma w oficjalnym oświadczeniu.
Specjaliści od bezpieczeństwa również nie odkryli w tych dniach żadnego błędu, który mógłby umożliwić osobie niepowołanej uzyskanie dostępu do czyichś prywatnych zdjęć. Dużo bardziej prawdopodobne - bo również potencjalnie znacznie łatwiejsze - wydaje się, że hakerzy zastosowali połączenie inżynierii społecznej, phishingu i... dobrego wywiadu środowiskowego.
Odpowiedzialni za atak wybrali sobie na cel konkretne osoby i dostępnymi sobie metodami, pojedynczo zdobywali dostęp do konta każdej z nich. Dość powszechnie zauważa się teraz, że w dużej części przypadków do zyskania nieautoryzowanego dostępu wystarczyło zebranie odpowiedniej ilości łatwo dostępnych informacji. Jedna z ofiar ataku, Jennifer Lawrence, przyznała niedawno w wywiadzie, że w jej adresie mailowym znajduje się ważne dla niej słowo. W połączeniu z innymi danymi mogło to wystarczyć hakerowi do _ odgadnięcia _ adresu e-mailowego, na które zarejestrowane jest konto gwiazdy. A to tylko jeden z przykładów.
Kiedy włamywacz znał już adres mailowy ofiary, jego dalsze postępowanie mogło pójść jedną z dwóch ścieżek. W łatwiejszym przypadku korzystał on z opcji odzyskiwania hasła, dostępnej na urządzeniach Apple. Tutaj potrzebna była jedynie data urodzenia i odpowiedź na "sekretne pytanie". Wystarczyło, że gwiazda pytała o coś, co można znaleźć w powszechnie dostępnych źródłach. Nikomu nie trzeba chyba mówić, że jeżeli chodzi o informacje na temat tych osób, to istnieje _ olbrzymia liczba powszechnie dostępnych źródeł _.
Alternatywnie hakerzy mogli uciec się do phisingu. Znając adres mailowy ofiary wysyłali więc linka do odpowiednio spreparowanej strony iTunes czy iCloud, wymagając zalogowania się w fikcyjnym celu i w ten sposób przechwytywali hasła.
To oczywiście tylko przykładowe ścieżki działania, którymi mogli podążać atakujący. Najprawdopodobniej musieli oni dostosowywać swoje podejście do każdej z ofiar. Jedno jest w tej sytuacji pewne - zdjęcia te nie zostały wykradzione w przeciągu dni czy nawet tygodni. Była to długotrwała operacja, która ciągnęła się całymi miesiącami (haker, który udostępnił zdjęcia, napisał o "kilku miesiącach ciężkiej pracy wszystkich zainteresowanych"), a może nawet latami. Pojawiają się przy okazji informacje o tym, że nie wszystkie zdjęcia pochodziły z kont iCloud - nietrudno przecież uwierzyć, że część ofiar korzysta z telefonów z Androidem czy usługi Dropbox, która uznawana jest w tej chwili za "podejrzaną" w przynajmniej jednym przypadku.
Co za to grozi?
Dość interesujący jest również wątek odpowiedzialności karnej, która może spotkać zarówno włamywaczy, jak i osoby rozpowszechniające te zdjęcia. Najbardziej oczywista kwestia dotyczy tych pierwszych - tutaj zastosowanie będzie miała amerykańska ustawa o oszustwach i nadużyciach komputerowych (Computer Fraud and Abuse Act), przewidująca wieloletnie kary więzienia za ataki hakerskie. Do tego dołożyć można ustawę o prywatności w komunikacji elektronicznej (Electronic Communications Privacy Act), której postanowienia hakerzy naruszyli rozpowszechniając publicznie należące do kogoś, prywatne treści.
Do tych dwóch przepisów można jeszcze dołożyć ustawę o prawie autorskim (rozpowszechniający nie byli przecież autorami tych fotografii, można więc ich ścigać i z tego paragrafu) czy nawet o rozpowszechnianiu pornografii dziecięcej. Jest niemal pewne, że przynajmniej jedna z dotkniętych atakiem gwiazd nie miała 18 lat w momencie wykonywania zdjęć. W jej przypadku więc konsekwencje mogą być bardzo poważne, nie tylko dla kradnących i rozpowszechniających, ale i również - potencjalnie - dla pobierających.
- Pornografia dziecięca jest toksyczna. Dotyka na każdego, kto wejdzie z nią w kontakt. Nawet ludzie, którzy ściągnęli [te zdjęcia] mogą być pociągnięci do odpowiedzialności - powiedział serwisowi _ Mashable _ Eric Goldman, profesor prawa internetowego na uniwersytecie w Santa Clara.
Czy może to spotkać również mnie?
Czy na podobne naruszenie prywatności i to, że ktoś zyska dostęp do naszych prywatnych zdjęć czy filmów, narażony jest w równym stopniu każdy z nas? Odpowiedź, w największym skrócie, brzmi: nie. Przynajmniej w opisywanym przypadku wyraźnie widać, że atak dotyczył bardzo konkretnych osób, cieszących się publicznym zainteresowaniem, o którym większość z nas może jedynie pomarzyć. Ten akurat atak nie powinien być więc dla nikogo powodem do _ zwiększonego _ strachu o własne, przechowywane w chmurze informacje. Metody hakerskie, zastosowane w przypadku gwiazd, raczej nie zadziałałyby na większość z nas. Prywatne zdjęcia osób nieznanych publicznie byłyby znacznie bardziej zagrożone w przypadku incydentu bezpieczeństwa, dotyczącego całej usługi, w efekcie którego hakerzy mogliby zyskać dostęp do zdjęć osób, o których nikt nie wiedzą.
Oczywiście to, że po opisywanym ataku nie powinniśmy zacząć martwić się _ bardziej _, nie oznacza absolutnie, że wszystkie dane przechowywane w chmurze są całkowicie bezpieczne. Informacje szczególnie cenne i fotografie szczególnie prywatne powinniśmy dla pełnego komfortu przechowywać tylko i wyłącznie na własnym urządzeniu, nie zostawiając ich w żadnej formie w internecie.
