Apple ontkent lek in iCloud

21 reacties

Apple heeft een update gegeven over het onderzoek naar de hack waarbij foto’s van beroemdheden werden gestolen en geopenbaard. Na 40 uur onderzoek van Apple engineers is de conclusie: iCloud en Find my iPhone zijn niet lek.

In de verklaring geeft Apple aan dat de hackers toegang hebben gekregen tot de accounts van celebs door middel van gerichte aanvallen op gebruikersnamen, wachtwoorden en beveiligingsvragen. “None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud or Find my iPhone.” Dit lijkt eerdere berichten tegen te spreken dat Find my iPhone tijdelijk gevoelig zou zijn geweest voor brute force attacks.

Apple werkt samen met de politie om de criminelen die de hack op hun geweten hebben te ontmaskeren. De verklaring eindigt met een tip om dit soort aanvallen af te weren: kies sterke wachtwoorden en maak gebruik van twee-staps-verificatie.

De volledige verklaring van Apple luidt:

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.

Reacties

21 reacties
  • Profielfoto
    glasgarage

    Weer niet gelukt dus! En maar proberen Apple onder uit halen. Zal wel iemand met een Android en Windows achter grond zijn

  • Profielfoto
    Festen

    Dat zou ik als Apple ook zeggen, anders krijg je in de VS een rechtszaak van een paar honderd miljoen aan je broek.

  • Profielfoto
    Afroman

    Weer niet gelukt dus! En maar proberen Apple onder uit halen. Zal wel iemand met een Android en Windows achter grond zijn

    Ja man….

    On topic. In hoeverre werkt dat 2step verification. Ik ehb het eens ingesteld en 1 keer gebruikt maar verder vraagt die er nooit naar.

  • Profielfoto
    essiw

    ik vind het nogsteeds vreemd dat er vanuit gegaan wordt dat dit via iCloud gedaan werd terwijl er dropbox bestanden tussen stonden.

  • Profielfoto
    jackybe67

    Er zijn ook foto’s gemaakt met Android en Blackberry. Maar ja, Apple is sexiër om te beschuldigen.:-)

  • Profielfoto
    Zakske

    ik vind het nogsteeds vreemd dat er vanuit gegaan wordt dat dit via iCloud gedaan werd terwijl er dropbox bestanden tussen stonden.

    Oké… Apple geeft expliciet toe dat de hack bij Apple plaats heeft gevonden, maar jij geeft Dropbox de schuld. Zucht… fanboys.

  • Profielfoto
    jackybe67

    Zakske, was het nu een hack of nie? Volgens mij niet en ook niet volgens Apple.

  • Profielfoto
    Afroman

    Boeit niet. Als je bij de gegevens van Apple komt zonder de officiële wegen is het niet oke en dus onveilig.

  • Profielfoto
    Buzz

    Het was (in sommige gevallen) een hack van iCloud accounts, gebaseerd op te makkelijk te raden wachtwoorden en/of antwoorden op veiligheidsvragen. Dat is wat Apple zegt. Het is natuurlijk heel waarschijnlijk dat de hackers hetzelfde hebben geprobeerd bij andere cloud diensten, maar daar wordt verder niks over gezegd.

  • Profielfoto
    Zakske

    Zakske, was het nu een hack of nie?

    Who gives a shit? De vraag “hack of geen hack” is enkel semantiek, feit is dat die foto’s afkomstig zijn van Apple. Dat geven ze ook toe. Als jouw bankrekening geplunderd wordt interesseert het je ook geen bal hoe ze het precies hebben gedaan, je bent pissed omdat je geld verdwenen is.

    Iedereen denkt dat grote bedrijven voor totale veiligheid kunnen zorgen, maar dat is BS. Ik kijk nu al angstig uit naar de dag dat je met je iPhone kunt betalen, want ook dat systeem zal een keer gekraakt worden.

  • Profielfoto
    henkdejonghoorn

    @Zakske
    Niet “iedereen” denkt dat grote bedrijven voor totale veiligheid kunnen zorgen hoor. Zeker niet als je je wachtwoorden makkelijk te raden maakt of als je ze opslaat bij Google.

  • Profielfoto
    michiel112

    On topic. In hoeverre werkt dat 2step verification. Ik ehb het eens ingesteld en 1 keer gebruikt maar verder vraagt die er nooit naar.

    Then, any time you sign in to manage your Apple ID at My Apple ID or make an iTunes, App Store, or iBooks Store purchase from a new device, you’ll need to verify your identity by entering both your password and a 4-digit verification code, as shown below.

    http://support.apple.com/kb/HT5570?viewlocale=en_US&locale=en_US

  • Profielfoto
    Verwijderen

    Ik snap de ophef niet, een paar naakt foto’s. Alsof dat interessant is. Ze lopen normaal gesproken ook half naakt op het podium…..dus ze moeten niet zeiken!

  • Profielfoto
    Pivni Pes

    Swiftly, je weet toch, het zij zijn vrouwen………..
    Die zijn niet altijd te snappen.

  • Profielfoto
    csteelooper

    Om hoeveel “gehackte” accounts gaat het nou? 4? Dat is geen beveiligingslek. Dan was het lek eerder dit jaar bij PlayStation Network groter. Daar waren DUIZENDEN accounts met creditcardinformatie getroffen.
    Bovendien: Naar het zich nu laat aanzien is er toegang verkregen door het wachtwoord te raden. Sorry, maar ik blijf erbij dat dat niet echt een hack is te noemen. Oké, er zijn tools als iBrute die duizenden pogingen achter elkaar doen, maar zelfs in dat geval is het niet meer dan proberen tot het raak is. Sterke wachtwoorden of passphrases zijn hier het antwoord.

    Een echte hack is het pas wanneer de daders toegang krijgen tot de systemen zónder gebruik te maken van de voordeur (inloggen middels gebruikersnaam (geraden) wachtwoord). Als het eenmaal lukt om via welke achterdeur dan ook toegang te krijgen, is bovendien het aantal getroffen accounts meestal veel hoger dan de 4 tot 10 die nu zijn getroffen.
    Met haar verklaring wilde Apple mijns inziens alleen duidelijk maken dat het verkrijgen van de toegang tot de getroffen accounts niet via een achterdeur (beveiligingslek) is gebeurd, maar ‘gewoon’ middels gebruikersnaam en wachtwoord. Dat het wachtwoord al dan niet via brute force geraden werd maakt in dezen geen verschil. Feit blijft dat de wachtwoorden niet sterk genoeg waren. En dat verbaast me niks – sommige wachtwoorden zijn werkelijk lachwekkend simpel…

  • Profielfoto
    polansky

    Ik geloof Apple in deze niet. Waarschijnlijk bang voor een Class Action lawsuit die ze honderden miljoenen kan gaan kosten. Apple moet gewoon zorgen dat ze hun zaakjes op orde hebben.

    Een gebruikersnaam en wachtwoord is voldoende als je 2-step verification niet aan hebt staan.

    Wat mij meer zorgen baart is dat ze met die gebruikersnaam wachtwoordcombinatie misschien ook wel bij de creditcard gegevens kunnen.

  • Profielfoto
    WOZ

    Niet om het één of ander maar die 2-staps verificatie staat bij mij niet onder ‘Wachtwoord en beveiliging’. Alleen de beveiligingsvragen. Iemand een idee hoe je die activeert?

  • Profielfoto
    Zakske

    Op Wired staat een interessant artikel over de inbraak, waarschijnlijk was de hack toch beter georganiseerd dan Apple uit laat schijnen. Er zaten ook foto’s tussen die jaren geleden gemaakt zijn; deze kun je niet uit Photo Stream plukken.

    “Use the script to hack her passwd…use eppb to download the backup,” wrote one anonymous user on Anon-IB explaining the process to a less-experienced hacker. “Post your wins here ;-)”

    Eerst gebruikten ze iBrute om toegang tot een account te krijgen, en vervolgens Elcomsoft Phone Password Breaker om alle data van iCloud te downloaden. EPPB is software voor politiediensten, maar staat ook op torrent sites.

  • Profielfoto
    polansky
  • Profielfoto
    WOZ

    @polansky Thanks, maar die uitleg geeft me nog niet de optie. Hij staat op “Beantwoord uw beveilingsvragen. Deze vragen helpen ons om uw identiteit te verifiëren.” Er is wel de optie om ‘tijdelijk PIN support’ te gebruiken, maar geen optie om een two-step verification te activeren.

  • Profielfoto
    bitsflew

    @WOZ

    Ik had exact hetzelfde probleem.

    Je moet de veiligheids vragen beantwoorden of de vragen resetten via het recovery e-mail account.

    Pas daarna verschijnen de opties voor 2-staps verificatie.