Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?

Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?

Skąd się wzięły skandaliczne zdjęcia amerykańskich celebrytek? Co grozi za ich rozpowszechnianie?
Źródło zdjęć: © Apple
03.09.2014 15:11, aktualizacja: 04.09.2014 10:55

Na początku tego tygodnia portale plotkarskie obiegła informacja o wycieku prywatnych zdjęć dziesiątek amerykańskich gwiazd. Niezidentyfikowany do teraz haker w sobie znany sposób zyskał dostęp do olbrzymiego zbioru materiałów fotograficznych, a nawet - jak sam zapewniał - wideo, z całą pewnością nieprzeznaczonych do publicznego rozpowszechniania. Teraz, kilka dni później, o całej sprawie wiadomo już nieco więcej i można jej się przyjrzeć z tego ciekawszego, technologicznego punktu widzenia. W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za rozpowszechnianie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?

W jaki sposób doszło do tak wielkiego wycieku prywatnych zbiorów? Co grozi hakerom i osobom odpowiedzialnym za powielanie tych treści? I czy, chociażby teoretycznie, coś podobnego mogłoby spotkać każdego z nas?

Większość serwisów i specjalistów, komentujących sprawę, zgadza się co do jednego - zdjęcia zostały przez hakera (bądź hakerów) wykradzione z kont iCloud gwiazd. Ta apple'owska usługa automatycznie kopiuje zdjęcia, wykonywane telefonem firmy, na jej serwery. Główną rolą tego rozwiązania jest oczywiście zapewnianie kopii bezpieczeństwa i dawanie dostępu do fotografii z wielu różnych urządzeń - telefonu, komputera czy tabletu. Wszystkie one powinny rzecz jasna należeć do właściciela zdjęć, nie do obcej osoby z internetu, jak stało się w tym przypadku.

Jak do tego doszło?

Apple z całą mocą zaprzeczył, jakoby doszło w ostatnim czasie do jakiegokolwiek naruszenia bezpieczeństwa usługi iCloud.

- Kiedy dowiedzieliśmy się o kradzieży, natychmiast zmobilizowaliśmy inżynierów Apple w celu odnalezienia jej źródła. Bezpieczeństwo i prywatność naszych klientów są dla nas niezmiernie ważne. Po ponad 40 godzinach dochodzenia odkryliśmy, że określone konta celebrytów zostały naruszone w bardzo konkretnie wymierzonym ataku na nazwy użytkowników, hasła i pytania bezpieczeństwa. To praktyka, która stała się ostatnio aż zbyt powszechna w internecie. W żadnym z badanych przez nas przypadków nie doszło do naruszenia bezpieczeństwa usług Apple'a, w tym iCloud czy Znajdź mój iPhone - napisała firma w oficjalnym oświadczeniu.

Specjaliści od bezpieczeństwa również nie odkryli w tych dniach żadnego błędu, który mógłby umożliwić osobie niepowołanej uzyskanie dostępu do czyichś prywatnych zdjęć. Dużo bardziej prawdopodobne - bo również potencjalnie znacznie łatwiejsze - wydaje się, że hakerzy zastosowali połączenie inżynierii społecznej, phishingu i... dobrego wywiadu środowiskowego.

Odpowiedzialni za atak wybrali sobie na cel konkretne osoby i dostępnymi sobie metodami, pojedynczo zdobywali dostęp do konta każdej z nich. Dość powszechnie zauważa się teraz, że w dużej części przypadków do zyskania nieautoryzowanego dostępu wystarczyło zebranie odpowiedniej ilości łatwo dostępnych informacji. Jedna z ofiar ataku, Jennifer Lawrence, przyznała niedawno w wywiadzie, że w jej adresie mailowym znajduje się ważne dla niej słowo. W połączeniu z innymi danymi mogło to wystarczyć hakerowi do _ odgadnięcia _ adresu e-mailowego, na które zarejestrowane jest konto gwiazdy. A to tylko jeden z przykładów.

Kiedy włamywacz znał już adres mailowy ofiary, jego dalsze postępowanie mogło pójść jedną z dwóch ścieżek. W łatwiejszym przypadku korzystał on z opcji odzyskiwania hasła, dostępnej na urządzeniach Apple. Tutaj potrzebna była jedynie data urodzenia i odpowiedź na "sekretne pytanie". Wystarczyło, że gwiazda pytała o coś, co można znaleźć w powszechnie dostępnych źródłach. Nikomu nie trzeba chyba mówić, że jeżeli chodzi o informacje na temat tych osób, to istnieje _ olbrzymia liczba powszechnie dostępnych źródeł _.

Alternatywnie hakerzy mogli uciec się do phisingu. Znając adres mailowy ofiary wysyłali więc linka do odpowiednio spreparowanej strony iTunes czy iCloud, wymagając zalogowania się w fikcyjnym celu i w ten sposób przechwytywali hasła.

To oczywiście tylko przykładowe ścieżki działania, którymi mogli podążać atakujący. Najprawdopodobniej musieli oni dostosowywać swoje podejście do każdej z ofiar. Jedno jest w tej sytuacji pewne - zdjęcia te nie zostały wykradzione w przeciągu dni czy nawet tygodni. Była to długotrwała operacja, która ciągnęła się całymi miesiącami (haker, który udostępnił zdjęcia, napisał o "kilku miesiącach ciężkiej pracy wszystkich zainteresowanych"), a może nawet latami. Pojawiają się przy okazji informacje o tym, że nie wszystkie zdjęcia pochodziły z kont iCloud - nietrudno przecież uwierzyć, że część ofiar korzysta z telefonów z Androidem czy usługi Dropbox, która uznawana jest w tej chwili za "podejrzaną" w przynajmniej jednym przypadku.

Obraz
© Jennifer Lawrence, jedna z ofiar ataku (fot. ONS.pl)

Co za to grozi?

Dość interesujący jest również wątek odpowiedzialności karnej, która może spotkać zarówno włamywaczy, jak i osoby rozpowszechniające te zdjęcia. Najbardziej oczywista kwestia dotyczy tych pierwszych - tutaj zastosowanie będzie miała amerykańska ustawa o oszustwach i nadużyciach komputerowych (Computer Fraud and Abuse Act), przewidująca wieloletnie kary więzienia za ataki hakerskie. Do tego dołożyć można ustawę o prywatności w komunikacji elektronicznej (Electronic Communications Privacy Act), której postanowienia hakerzy naruszyli rozpowszechniając publicznie należące do kogoś, prywatne treści.

Do tych dwóch przepisów można jeszcze dołożyć ustawę o prawie autorskim (rozpowszechniający nie byli przecież autorami tych fotografii, można więc ich ścigać i z tego paragrafu) czy nawet o rozpowszechnianiu pornografii dziecięcej. Jest niemal pewne, że przynajmniej jedna z dotkniętych atakiem gwiazd nie miała 18 lat w momencie wykonywania zdjęć. W jej przypadku więc konsekwencje mogą być bardzo poważne, nie tylko dla kradnących i rozpowszechniających, ale i również - potencjalnie - dla pobierających.

- Pornografia dziecięca jest toksyczna. Dotyka na każdego, kto wejdzie z nią w kontakt. Nawet ludzie, którzy ściągnęli [te zdjęcia] mogą być pociągnięci do odpowiedzialności - powiedział serwisowi _ Mashable _ Eric Goldman, profesor prawa internetowego na uniwersytecie w Santa Clara.

Czy może to spotkać również mnie?

Czy na podobne naruszenie prywatności i to, że ktoś zyska dostęp do naszych prywatnych zdjęć czy filmów, narażony jest w równym stopniu każdy z nas? Odpowiedź, w największym skrócie, brzmi: nie. Przynajmniej w opisywanym przypadku wyraźnie widać, że atak dotyczył bardzo konkretnych osób, cieszących się publicznym zainteresowaniem, o którym większość z nas może jedynie pomarzyć. Ten akurat atak nie powinien być więc dla nikogo powodem do _ zwiększonego _ strachu o własne, przechowywane w chmurze informacje. Metody hakerskie, zastosowane w przypadku gwiazd, raczej nie zadziałałyby na większość z nas. Prywatne zdjęcia osób nieznanych publicznie byłyby znacznie bardziej zagrożone w przypadku incydentu bezpieczeństwa, dotyczącego całej usługi, w efekcie którego hakerzy mogliby zyskać dostęp do zdjęć osób, o których nikt nie wiedzą.

Oczywiście to, że po opisywanym ataku nie powinniśmy zacząć martwić się _ bardziej _, nie oznacza absolutnie, że wszystkie dane przechowywane w chmurze są całkowicie bezpieczne. Informacje szczególnie cenne i fotografie szczególnie prywatne powinniśmy dla pełnego komfortu przechowywać tylko i wyłącznie na własnym urządzeniu, nie zostawiając ich w żadnej formie w internecie.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (111)