Forrige søndag ble hundrevis av private bilder fra kjente Hollywood-stjerner lekket på nettet. Det er fortsatt uvisst hvem som står bak angrepet, men det er flere antagelser om hvordan det ble gjennomført.
De fleste antagelsene tilsier at bildene er hentet fra ofrenes iCloud-kontoer. iCloud er Apples skytjeneste for sømløs lagring og synkronisering av innhold på tvers av enheter. I all hovedsak betyr dette at iCloud gjør dine kontakter, meldinger og bilder tilgjengelig når og hvor som helst. Om du skulle være så uheldig å miste telefonen, kan du enkelt gjenopprette en kopi av alt innholdet på en ny dings, fra skyen.
Dette høres helt supert ut, frem til du ser på sikkerhetsaspektet: Ved å skaffe seg tilgang til din iCloud-konto, får en hacker i praksis tilgang alle dine private data.
Og det er akkurat dette scenarioet som spilte seg ut for flere titalls profilerte kjendiser i helga. Hendelsen, som på internetslang har fått navnet «The Fappening», er benevnelsen på en lekkasje av hundrevis av private kjendisbilder på nettet.
Men hvordan har noen fått tilgang til så mange kontoer? Svaret er skremmende enkelt.
Dårlig kontosikkerhet
iCloud-tjenesten er direkte koblet til en Apple-konto, som vanligvis sikres av et brukernavn (din epostadresse) og et passord.
Apple har i det siste åpnet for multi-faktor autentisering, som gjør at du får tilsendt en engangskode hver gang du logger inn. Problemet er at de færreste har dette aktivert på sine kontoer.
Les dette: NRKbeta om passordsikkerhet
Hackerne bak The Fappening har antagligvis utnyttet dette: Kjendisene som ble utsatt for hackingen, har etter all sannsynlighet ikke aktivert multi-faktor autentisering. På grunn av dette har hackerne har klart å tippe seg frem til passordene, enten ved at passordene var svært enkle, eller ved hjelp av spesialiserte programmer.
Bruker programmer ment for politiet
På et av de mest populære bildedelingsnettsidene diskuteres det ofte metoder. På forumet til en av disse nettsidene er det flere som lurer på hvordan man kan gjennomføre denne typen angrep.
I lange utgreiinger forklarer anonyme «script-kiddies» hvilke applikasjoner som skal brukes til de ulike delene av operasjonen. Gjenopprettingsprogrammet som står for selve uthentingen av bildene, er laget for bruk i politi- og forskningssammenheng.
Dette programmet, som produseres av et russisk firma, lar deg hente hele sikkerhetskopier av en Apple-enhet fra selskapets iCloud-konto, så lenge du har kontoens brukernavn og passord. Dette gjør at programmet i utgangspunktet er ganske harmløst: Du må ha tilgang til den aktuelle iCloud-kontoen for å benytte deg av det.
Men en svakhet i Apples sikkerhetsregime gjør det mulig å tippe på en iCloud-kontos passord utallige ganger i minuttet. I praksis spør programmet Apples iCloud-tjeneste om en brukernavn/passord-kombinasjon er korrekt, og Apples servere svarer ja eller nei. Om passordet er svakt nok, kan hackeren med denne metoden enkelt få tilgang til kontoen.
I forrige uke la et sikkerhetsfirma ut et program på GitHub. Programmet demonstrerer hvor enkelt det er å gjennomføre dette passordangrepet mot Apples iCloud-tjeneste.
Kombinasjonen av det russiske gjenopprettingsprogrammet og sikkerhetsfirmaets kodebrekkingsprogram, gjør det svært enkelt for noen med elementær programmeringskunnskap å gjennomføre et lignende angrep. Det er ikke bevist at det aktuelle kodebrekkingsprogrammet er brukt her, men den teoretiske fremgangsmåten er lik.
I mange tilfeller trenger det ikke engang å være så avansert. Verdens to mest brukte passord er fortsatt 123456 og password.
Les saken: De verste passordene
Oppdatering, 3. september 16:20: Apple skriver i en pressemelding at kodeknekkingsprogrammet ikke er involvert i skandalen. Ifølge Apple har de som er omfattet av lekkasjen vært utsatt for et spesifikt angrep.
Også utbredt i Norge
Selv om The Fappening har ført til store oppslag, er det viktig å påpeke at dette ikke er et nytt fenomen. Hacking av skytjenester har vært et tema i en årrekke, og det finnes nok av skandaler å ta av.
Senest i fjor sommer avslørte VG Helg at Unge Høyre-politikeren Tor Johannes Helleland hadde hacket flere unge jenters iCloud-kontoer. Bildene la han ut på et populært bildedelingsnettsted.
På et av de mest populære nettstedene for deling av private bilder, finnes det en helt egen seksjon for norske angrep.
Seksjonen, som inneholder tusenvis av tråder, er fylt av forespørsler om bilder. De fleste forespørslene er geografisk orienterte, for eksempel «Er det noen som har bilder av jenter fra Grimstad?». De færreste trådene står ubesvart.
Slik sikrer du deg
Å sikre seg mot denne typen angrep, er heldigvis ganske enkelt. Ved å skru på multi-faktor autentisering på alle dine tjenester som støtter det, blir det vanskeligere å komme seg inn på kontoen din.
Multi-faktor autentisering baserer seg i stor grad på samme teknologi som nettbanken din: Hver gang du logger inn, må du skrive inn en engangskode. Engangskoden får du tilgang til på mobil eller epost.
Les dette for å sikre deg: Two is One. One is None – Slik sikrer du deg enkelt på nett
Et annet godt råd er å skru på kryptering av backupene. Sørg da for å bruke et passord som du husker, men som også er veldig kraftig. Glemmer du passordet, er dataene dine tapt for alltid. Men det sørger også for at en ondsinnet hacker ikke har nubbesjans til å få tilgang til informasjonen din. Og passordet kan du skrive ned på en lapp.
Har du noen gode råd og tips til hvordan man sikrer seg? Fortell oss om det i kommentarfeltet!