Компания
40,02
рейтинг
5 сентября 2014 в 07:14

Разработка → Утечка частных фотографий знаменитостей: подробное расследование австралийского разработчика

На этой неделе интернет был потрясен историей, связанной с утечкой сотен интимных фотографий знаменитостей (статьи на Хабре на связанную с этим тему здесь и здесь). Одно из самых тщательных расследований этой истории провел рожденный в Австралии предприниматель, блогер, инженер и разработчик софта (все это в одном лице) Ник Кубрилович (Nic Cubrilovic). Ник известен тем, что в разные периоды своей карьеры был журналистом и консультантом Techcrunch и Crunchpad, редактором TechcrunchIT, основателем или со-основателем Omnidrive, Solutionstap, MyVirtualDrive, Webwall, 2web и прочее. Подробности – под катом.

Дисклэймер: Работая над модулем обратного звонка на платформе Witget мы постоянно просеиваем интернет на предмет новых трендов или идей (кому будет интересно, о нашем новом продукте, имеющем самое прямое отношение к теме статьи, можно прочесть в постскриптуме). Изучая тему privacy мы и наткнулись на статью-расследование от Ника. Нам она показалась настолько интересной, отражающей важность тренда на приватность и полнейшую уязвимость нас всех, что мы решили полностью ее перевести и поделиться с хабражителями. Перевели как смогли, так что не судите строго (после статьи дана ссылка на первоисточник). Перевод сделан от первого лица.

Интересно, как периодически информационная безопасность сталкивается с другими отраслями и субкультурами. Так как сейчас огромное количество информации хранится и распространяется в Интернете и через различные девайсы, историями о взломах уже никого не удивишь. Это случилось и 1го сентября – десятки знаменитостей стали жертвами хакеров, которым удалось украсть сотни частных фотографий и видео из облачных хранилищ данных.

Суть истории в том, что огромное количество интимных фотографий многих известных знаменитостей стали появляться на имиджбордах и форумах, самые известные из них — anon-ib, 4chan и reddit.

Первые фотографии были опубликованы почти две недели назад, но не привлекли особого внимания, так как были выставлены на продажу (был предложены лишь превью с цензурой в надежде, что кто-то купит эти фото). Только после того, как несколько пользователей приобрели их и опубликовали уже без цензуры на публичных форумах, об этой истории заговорили.

В этой истории замешана, по крайней мере, дюжина знаменитостей – у них было украдено более 400 личных фото и видеозаписей в виде дампов. Анонимно был опубликован список имен знаменитостей, оформленный в стиле рекламного буклета, в котором было указано, что личные данные более 100 человек были скомпрометированы.



После того, как произошла эта история, я на некоторое время погрузился в эту сумасшедшую субкультуру похитителей интимных фотографий и неприличных видео знаменитостей, пытаясь разобраться, что хакеры сделали, как именно они это делали, и что можно из всего этого вынести.

1. Та часть персональной информации, которую видят пользователи после всех этих инцидентов с хакерами – это только верхушка айсберга.


Метафора Интернета — видимые и невидимые его части

Существуют целые сообщества и торговые сети, где украденные данные переправляют в частные руки, и ими редко делятся с общественностью. Взломы происходят постоянно особой группой людей, у каждого из которых есть своя конкретная роль. Эта деятельность плохо организована, но есть огромное количество сайтов (как открытого сегмента интернета, так и «Даркнета» — скрытой от поисковиков части сети, где все пользователи сохраняют анонимность), где происходит коммуникация между «участниками рынка», но большая часть общения между ними осуществляется по электронной почте и через системы мгновенного обмена сообщениями.

2. Цель – украсть личные данные с телефона жертвы с помощью доступа к облачным сервисам резервного копирования, интегрированных в iPhone, а также Android и Windows Phone. Для доступа к этим хранилищам необходим ID пользователя, пароль или ключ аутентификации – опознавательный признак.

3. Взломщиков можно разделить на несколько категорий:

  • Пользователи, которые мониторят Facebook и другие социальные сети, подыскивая подходящие «мишени» и собирая как можно больше информации о них. Сбор данных включает в себя изучение публичных архивов данных и приобретение кредитной истории. Сбор данных о жертве включает создание фейковых аккаунтов, чтобы добавить в друзья или зафоловить друзей «мишени», настойчивость в добывании информации, которая может помочь ответить на секретные вопросы, налаживания более тесных контактов с друзьями «мишени» и т.д.
  • Пользователи, которые используют полученные данные для «восстановления» паролей или подтверждения подлинности. Для этого существует несколько методов, для многих из них даже есть доступные в онлайне инструкции. Наиболее распространенными способами является RAT («remote administration tool» – средство удаленного администрирования) – утилита для несанкционированного доступа к системе удаленного пользователя, фишинг, восстановление и сброс пароля. RAT – это простые инструменты удаленного доступа, которые обманом заставляют установить пользователя через личные сообщения или электронную почту (под видом ссылки или вложения) на его телефоне или компьютере. В случае с фишингом жертве отправляется емейл с предложением сбросить или изменить пароль, что обманным путем заставляет пользователя ввести пароль на сайте или в форме, которые контролируются злоумышленником. Напоминание пароля дает доступ к аккаунту электронной почты пользователя (опять же с помощью секретных вопросов или же другой техники), и получение ссылки, перейдя по которой, злоумышленник получает доступ к облачному хранилищу данных. В случае с техникой сброса пароля нужно указать дату рождения и ответить на секретный вопрос (часто требуется указать публично доступные данные – дни рождения, любимые спортивные команды – поэтому взломать страницу можно без особого труда).
  • Пользователи, которые получают логин и пароль или ключ аутентификации, а затем взламывают облачные сервисы резервного копирования с помощью программного обеспечения и инструментов типа Elcomsoft EPRB. Безусловно, это ПО является пиратским и поддерживает возможность взлома всех резервных копий и выгрузки дампа, в том числе, сообщений и удаленных фотографий.
  • Далее «коллекционеры» собирают все украденные данные, и распределяют их по папкам. Как правило, они используют Dropbox и Google Drive. Эти же люди впоследствии создают превью для каждой группы фотографий, и оставляют свою электронную почту на них для связи. E-mail-адреса подобных «коллекционеров» или других продавцов изображений можно получить по рекомендации, как правило, через кого-то, кто занимается взломом или незаконным копированием.


4. Распространенным источником новых клиентов в этой сфере являются новички, которые хотят кого-то взломать, и обращаются в одну из сетей, предоставляющих эти услуги, обычно находя ее по ключевым словам или на форумах. Новому клиенту необходимо предоставить ссылку на аккаунт в Facebook, а также столько информации, сколько потребуеся хакеру для того, чтобы взломать страницу; плюс посильную помощь в установке RAT, если это необходимо. В обмен взломщики предоставят заказчику копию извлеченных данных, которые они также оставят и себе. Для меня в этом состоит самый неприятный аспект подобных сетей – осознание того, что есть люди, которые рассказывают все о своих друзьях, чтобы получить дамп со всеми их персональными данными.

5. Я изучил множество постов на форумах и имиджбордах, вступал в переписку, направлял запросы на услуги подобных сервисов и т.д., и нигде не была упомянута достаточно грубая техника FindMyPhone API (публично разоблаченная и используемая в iBrute). Это не значит, что она не используется хакерами в частном порядке. Однако судя по требуемому уровню навыков, упоминаниям и инструкциям по применению других техник, некоторому хвастовству об успехах в области социальной инженерии, восстановлении и сбросе пароля, фишинге и RAT – выясняется, что подобные методики не понадобились, или вообще неизвестны в кругу хакеров.



6. Наиболее популярной «мишенью» для хакерских атак является iCloud, потому что там резервные копии Picture Roll включены по умолчанию, кроме этого iPhone является очень популярной платформой. Резервные копии Windows Phone доступны на всех устройствах, но по умолчанию отключены (часто они бывают включены, хотя я не смог найти статистику), в то время как резервное копирование на Android осуществляются с помощью сторонних приложений (некоторые из которых также подвергаются атакам).

Google+ предоставляет набор функций для резервного копирования фотографий, загруженных через приложение.

7. Аккаунты Apple кажутся особенно уязвимыми из-за процесса восстановления, требований к паролю, и возможности определить, есть ли в iCloud аккаунт на этот email-адрес. Процесс восстановления разбит на несколько этапов, и хакер в принципе может потерпеть поражение на каждом из них. Несмотря на то, что Apple не раскрывает информацию, является ли email-адрес действующим адресом iCloud в процессе восстановления, они «проговорятся», действующий он или нет, если вы попытаетесь зарегистрировать новый аккаунт, используя тот же email, так что верифицировать его (или взломать) не составит никакого труда. Второй шаг – это проверка даты рождения – и он будет успешно пройден, если хакер сможет догадаться (а он, скорее всего, уже ее знает); что касается последнего шага, то он включает в себя два вопроса безопасности. Лучше было бы Apple уничтожить интерфейс для регистрации, который показывает новым пользователям, доступен ли их e-mail в качестве аккаунта на iCloud или нет. Также хорошей идеей было бы уместить весь процесс восстановления в одном большом шаге, где все данные проверяются один раз, и пользователю не отправляется сообщение об ошибке. Кроме этого, было бы мудро ввести ограничения скорости и жесткую блокировку этого процесса для каждого аккаунта.

Возможность размещать адрес электронной почты на https://appleid.apple.com/account/validation/appleid (Update: Apple закрыл эту дыру и ссылка больше не работает) и получать ответ с указанием, действителен ли ваш аккаунт или нет, а также практически полное отсутствие ограничений по скорости – это настоящий баг.

а) Чтобы еще раз напомнить, каковы главные техники, которые были использованы во взломе, перечислю их в порядке популярности/эффективности:
  • Сброс пароля (секретные вопросы/ответы)
  • Фишинг электронной почты
  • Восстановление пароля (взлом email-аккаунта)
  • Социальная инженерия/установка RAT/ключи аутентификации


б) Как только они получили доступ к аккаунту, считайте, что у них есть доступ ко всем данным – они могут определить местоположение телефона, перехватывать SMS- и MMS-сообщения, восстанавливать удаленные файлы и фотографии, удаленно стирать память устройства и т.д. В нашем примере, хакеров, главным образом, интересовали личные фото, но в течение некоторого времени они могли полностью контролировать аккаунт.

8. Ключи аутентификации могут быть украдены трояном (или с помощью социальной инженерии) с компьютера с установленным iTunes. Elcomsoft создал инструмент под названием atex, который и совершает эту операцию. На OS X этот ключ устанавливается с помощью специального электронного «брелока». Ключ аутентификации так же хорош, как и пароль.

Схема работы keychan









9. Двухфакторная аутентификация для iCloud не поможет в предотвращении использования пароля или ключей аутентификации для извлечения резервных копий. Двухфакторная аутентификация обычно используется для защиты деталей аккаунта и обновлений.

10. Регулярно происходит просто огромное количество взломов. Существует десятки форумов и имиджбордов, на которых хакеры предлагают свои услуги. Те, кто предлагает импортировать данные, всего лишь в обмен на логин и пароль, и ничего не просят за это, на самом деле мошенники, они воруют данные, а затем продают их или обменивают.

11. Уровень безопасности среднего пользователя в подобных сетях чрезвычайно низок. 98% email-адресов, указанных на форумах в объявлениях в качестве рекламы, обслуживаются популярными провайдерами (gmail, outlook, yahoo), которые не поддерживают Tor и не позволяют совершать действия анонимно. Когда происходят взломы, большинство пользователей сразу начинают говорить об использовании VPN, говоря, что эти технологии самые лучшие, быстрые и позволяют сохранить конфиденциальность. Также было невероятно просто распространить последние утечки данных по всему интернету (более подробно об этом – позже), найти серверы с дампами и т.д.

12. На форумах «даркнета» пишут много советов, как пошагово осуществить взлом, а также предоставляют базы данных паролей и логинов, и различной документации на эту тему, но что касается распространения контента, они обычно на шаг позади общедоступных имиджбордов. Безусловно, последние более полезны для поддержания популярности контента уже после того, как он опубликован, и пользователи будут заходить на них все чаще, если произойдут новые утечки информации. В Overchan и Torchan в прошлом постоянно поступали запросы от новых пользователей, которые хотели получить ссылки на даркнет, а теперь имиджборды получили этот трафик.

13. Разные форматы и имена файлов, информационные нестыковки и остаточные данные, такие как файлы Dropbox, найденные в дампах, можно объяснить использованием различного восстанавливающего программного обеспечения (некоторое из которого восстанавливает исходные названия файлов, а некоторое – нет), плюс, дамперы и дистрибьюторы часто используют Dropbox для распространения файлов. Неизвестно, сколько хакеров было вовлечено в процесс извлечения данных, но я предполагаю, что список знаменитостей был внутренним списком одной из торговых сетей. Временные метки, посты на форуме и другие данные свидетельствуют о том, что эта коллекция создавалась в течение длительного периода времени.



14. На тему информационной безопасности. Выследить одного из распространителей, который запостил выкупленные частные изображения на 4chan и reddit, было просто. Он опубликовал скриншот как часть презентации, говорившей о продаже 60 или более изображений и видео одной и той же знаменитости, но не замазал имя своего компьютера, или имена других компьютеров его локальной сети.

Пользователь reddit вбил этот номер в Google и выследил компанию, в которой он работал (хотя они подозревали не того сотрудника). В процессе отслеживания каждого из этих имен, одно из них привело обратно на аккаунт reddit, где был размещен скриншот с точно таким же интерфейсом (у парня была плохая привычка делать скриншоты со своего компьютера). Он отрицал тот факт, что именно он являлся источником изображения, однако этот парень – безусловно, дистрибьютор, который выкупил фото из частной сети, ведь на тот момент эти изображения еще не просочились в просторы интернета.

15. Лично я не различаю тех, кто ворует данные напрямую и тех, кто «всего лишь» покупает их, чтобы впоследствии прибыльно продать их общественности.

16. Кажется, что за последние несколько дней многое пошло не так, причем не только у нашего новоявленного друга, но и у других членов этой сети. Они не собирались делать эти изображения достоянием общественности, но кто-то, возможно, ранее выявленный нами дистрибьютор, решил, что возможность заработать деньги слишком хороша, чтобы пройти мимо, и решил продать некоторые изображения. Первый пост из этой серии, который я смог отследить, был сделан за 5 дней до того, как история получила огласку, то есть, 26 августа. Каждый из этих постов содержал изображение с цензурой и предложение заплатить определенную сумму для получения версии без цензуры. После нескольких таких постов, на которые никто не обращал внимания (думая, что это развод), наш дистрибьютор решил публиковать версии без цензуры, которые быстро распространились на anon-ib, 4chan и reddit. Моя теория заключается в том, что другие члены сети, видя утечки и предложения купить фотографии, тоже решили немного заработать, полагая, что ценность изображений скоро будет равняться нулю, что привело к быстрому снижению цены на данные каждого из дистрибьюторов, кто имел доступ к фото.

17. Что касается того, чтобы оставаться в безопасности, наиболее очевидными мерами является выбор более надежного пароля, использование ответов на секретные вопросы, представляющих собой длинные случайные строки, а также включение двухфакторной аутентификации. Также хорошей идеей защиты вашего емейла является использование одного адреса, который никто не будет знать, для «чувствительных» аккаунтов, таких как интернет-банкинг, облачные хранилища и т.д., и отдельный адрес для связи, который вы не скрываете. В телефонах нет режима конфиденциальности, там все ваши данные и метаданные хранятся в одном месте, в этом случае, единственным решением, чтобы сохранить приватный или более анонимный профиль, является приобретение отдельного телефона, где аккаунт будет создан на вымышленное имя. Есть веская причина тому, почему торговцы наркотиками носят с собой несколько телефонов, скрывая свою реальную личность в «рабочем» процессе.

18. Не существует софта, который пользователи могут установить и просто обновлять впоследствии, чтобы всегда чувствовать себя в полной безопасности. Ответственность лежит как на разработчиках, так и на самих пользователях. Пользователи должны уметь составлять правильные пароли (уникальные, длинные, пароли-фразы), а также владеть основами безопасности и анонимности.

Компания Apple заявила следующее:

«После более чем 40-часового расследования мы обнаружили, что аккаунты некоторых знаменитостей были скомпрометированы целенаправленными атаками на юзернеймы, пароли, секретные вопросы; подобная практика сейчас довольно распространена в Интернете. Ни в одном из случаев, которые мы исследовали, проблемы не были вызваны нарушением работы одной из систем Apple, включая iCloud или Find my iPhone. Мы продолжаем сотрудничать с правоохранительными органами, чтобы помочь определить личность преступников.
Для защиты от данного типа атак, мы рекомендуем всем пользователям использовать надежный пароль и включить двухшаговую верификацию».


Источник: https://www.nikcub.com/posts/notes-on-the-celebrity-data-theft/.
Какие методы вы используете для того, чтобы обезопасить свои персональные данные?

Проголосовало 2095 человек. Воздержалось 489 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Автор: @AdOneTech
Witget
рейтинг 40,02
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Комментарии (44)

  • +45
    Вообще-то это должен быть малтичойс.
    • 0
      Согласен. Сорри, не учли.
    • +2
      А ещё нет варианта «минимизирую доступные в интернете персональные данные»
      • 0
        Добавили.
  • 0
    Я бы не сказал что получить доступ к Apple ID так уж легко, если звонить в тех. поддержку, придется ответить на не малое количество вопросов и если устроят ваши ответы, на все контактные данные аккаунта придет оповещение что запущена процедура восстановления аккаунта и есть 24 часа на ее отмену. Соответственно, если вы не отмените восстановление, через 24 часа доступ к аккаунту будет получен.
    Ну а если человек ставит что попало или у него пароль password123, сам себе злобный буратино. И да, ответы на секретные вопросы это то же дополнительные пароли, только такие, чтобы удобно диктовать было.
  • –4
    А почему нет варианта «не делаю ничего такого, за что было бы стыдно в случае публичной огласки?» Или так уже никто не живёт? :)
    • +4
      А вы перестаньте историю браузера чистить и в режиме «Инкогнито» сидеть, и мы посмотрим кто-как живет)
      • 0
        А я разве всем этим занимаюсь? :)
        • +2
          Может быть ничего плохого не делаешь, просто «не ваше дело».
          • 0
            Это уже тема рисков, а в этом случае надо понимать, что даже садясь на самокат есть вероятность получить травму.
    • 0
      Согласен, это лучший способ защиты.
    • 0
      Сегодня не стыдно, завтра может стать стыдно… а информацию уже не изымешь.
      • –6
        Из этой ситуации тоже есть два выхода: либо раз и навсегда определитесь с жизненными принципами, либо научитесь отвечать за свои поступки.
        • +2
          Сегодня ты подросток и накалываешь тату с именем любимой, а завтра она тебе изменила и ты пытаешься его свести… Похожая аналогия? Жизненные принципы можно считать устоявшимися только в зрелом возрасте, так что-же — не жить, пока не встретишь старость?
          • 0
            Так ведь я потому и предложил ещё и второй вариант :)
          • +2
            Боюсь, что с такой логикой в старости будет не тело, а сплошной шрам от затертых наколок.
            Весь вопрос в том, не для того ли и делаются такие фото, чтоб их увидели?
            • +1
              Что такое тайна переписки, слышали? Что за совковый менталитет.
              • +2
                Причем здесь совковый менталитет? Сказать, чтоб ярлык повесить? Вашу тайну переписки не соблюдали никогда, ни в какое время и не в одном государстве. Только в одном случае это становится «достоянием» общественности в другом нет. Не хочешь, чтоб твоя «натура» стала достоянием интернета, не выкладывай ее туда.
          • 0
            не менять свои принципы — преступно. «Кто в молодости не был революционером, у того нет сердца, а кто в зрелости не стал консерватором, у того нет мозгов» (Черчилль)
    • –2
      Вспомнилось www.youtube.com/watch?v=kOm0MFflYL8
      • 0
        Какая-то гадость. Вы точно правильную ссылку привели?
    • +1
      Вы уже поставили вебкамеру у себя в туалете?
      • +1
        А при чем одно и другое? Вам стыдно, что приходя в туалет, садитесь на унитаз и производите дефекацию? ИМХО, тогда надо к психологу. А выставлять напоказ такое — ИМХО, тоже надо к психологу, вместе с тем, кто будет этим любоваться.

        Мне не стыдно от того, что я хожу в туалет, моюсь, чищу зубы и нос и много другого. Но показывать это я не собираюсь. Не потому что стыдно, а потому не вижу «зачем?». Если вдруг кто-то сфоткает такое и выложит в паблик, ну пожалуйста, переживать за это тоже не буду.
    • 0
      Все такие умные, пока лично про вас что-то не раскопали.
      • –1
        Потому и надо жить так, чтобы стыдно не было.
        • +3
          Потому и надо жить так, чтобы стыдно не было.


          Я это про вас говорил, если что. Если нечего скрывать — откройтесь и покажите нам. Вебкамеру 24/7 дома установить слабо? Или вы тут просто радуетесь что вас пока никто не взломал, потому что вы никому не сдались?
          • +2
            Почему сразу не стыдно, так выложите себя. Вот странная какая-то мысль. Зачем это делать? Почему обязательно стыдно то, что я не хочу выкладывать. Есть частная жизнь, личное пространство. И я многое из этого не собиабсь выкладывать, но это не значит, что мне от этого будет стыдно, если кто-то узнает или увидит.
            • +1
              Вы, кажется, один понимаете то, что я пытаюсь сказать. Спасибо.
          • +1
            Я Вам про Фому, а Вы мне про Ерёму.
      • 0
        А можете привести пример, за что может быть стыдно? А если стыдно, то зачем это делать?

        PS Не считать, что я сторонник полной открытости, скорее наоборот.
        • 0
          А можете привести пример, за что может быть стыдно? А если стыдно, то зачем это делать?


          Вот заснете вы, а с вами знакомые наделают интересных фоток, например. Не обязательно пить, допустим просто в походе после физических нагрузок глубоко заснули.
          • +2
            И? Вот честно, не было бы стыдно ни разу. Это какие-то детско-подростковые страхи, что с тебя будут смеяться и тыкать пальцем.
    • +1
      Скоро может людей сажать начнут за то что у них в списке любимых фильмов значится «Страх и ненависть в Лас-Вегасе», а вы тут со своими аргументами «Мне нечего скрывать». Прайваси — это не инструмент преступника, а банальное право на личное пространство.
  • +1
    Почему радио, а не чекбоксы? Сочетание же тоже возможно.
  • +2
    Как по-мне версия про даркнеты, в которых обитают всемогущие хакеры кажется немного надуманной.
    • +1
      Согласен с Вами. В статье нет ссылок на доказательства, только мнение автора (напоминает телевидение). Отсюда и ваши подозрения, которые очень даже обоснованы.
  • +1
    И теперь все знают, что Мила Кунис курит.
    • +8
      Но не все знают, кто такая Мила Кунис. Мне кажется, что эти «звезды» сами готовы с фоточками за хакерами бегать, лишь бы в новостях засветиться.
      • +5
        Похоже на то. Имена большинства участников этого действа лично я вообще первый раз услышал.
  • +5
    Статья слабо похожа на расследование, ещё меньше на подробное.
    • +1
      Ну, мне лично было весело. Но весь перевод убивает реклама в конце.
  • 0
    А ведь отличная тема для организованной утечки. Купил айфончик под это дело, отдельный аккаунт, пароль qwerty. Сделал несколько фото средней пошлости и мыло свое невзначай опубликовал. Телефон положил на полку и ждешь хакеров. Вуаля! пиар обеспечен.
  • +9
    А зачем вы собираете информацию, о методах защиты личной информации пользователями хабра?
  • +1
    Процесс восстановления разбит на несколько этапов, и хакер в принципе может потерпеть поражение на каждом из них.

    Вот ведь какая классическая проблема безопасности. Это же брат-близнец padding oracle — разные сообщения об ошибке, в зависимости от того, на каком этапе проверка выявила несоответствие, и таким образом предоставление злоумышленнику информации, что из имеющихся у него данных является правильным, а что — нет. Теперь вместо угадывания всех данных одновременно ему достаточно подбирать их по очереди шаг за шагом.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка