Šią savaitę įžymybės buvo nukreiptos į ataką, kuri atskleidė nuogas nuotraukas - kai kurios sakė esančios tikros, kitos suklastotos - saugomos „Apple iCloud“ paskyrose. Štai ką mes žinome ir ką reiškia apie savo debesų saugumą.

Kaip įsilaužė įžymybių sąskaitas?

Pagal naujausias „Apple“ paskelbtas ataskaitas ir informaciją, nukentėjusieji nukentėjo nuo įžymybių, kurių „iCloud“ nuotraukos nutekėjo. Tai reiškia, kad žmonės, kurie įsilaužė į sąskaitas, tikriausiai žinojo elektroninio pašto adresus, susijusius su įžymybių paskyromis, arba jie galėjo atsakyti į saugumo klausimus, suteikiančius jiems prieigą prie sąskaitų.

Vis dar neaišku, kaip įsilaužėliai galėjo žinoti atsakymus į paskyros saugumo klausimus ir gauti paskyrų naudotojų vardus.

Ką apie tą saugumo skylę?

Buvo manoma, kad įsilaužėliai galėjo gauti prieigą prie „iCloud“ sąskaitų per saugyklą, esančią internetinės saugyklos paslaugos „Find My iPhone“ („Rasti mano iPhone“) funkciją, leidžiančią jiems atlikti brutalinių jėgų atakas. Su brutalia jėga ataka, įsilaužėliai naudoti scenarijų automatiškai išbandyti daug skirtingų naudotojo ir slaptažodžio deriniai greitai vienas po kito, kol teisingas derinys yra atspėti.

Antradienio rytą „Apple“ užfiksavo šią skylę ir patvirtino, kad tai nebuvo metodas, kuriuo įsilaužėliai prisijungė prie įžymybių sąskaitų.

Aš vis dar nesuprantu. Jie yra įžymybės.

Priešingai nei visuotinis įsitikinimas, dauguma įžymybių naudoja technologiją taip pat, kaip ir daugelis kitų nežinomų žmonių. „Apple“, „Google“ ir kiti pagrindiniai technologijų žaidėjai nebūtinai suteikia įžymybėms galimybę naudotis specialiomis saugumo funkcijomis. Jei būtų prieinamų saugumo priemonių, tikimės, kad šios bendrovės jas platins visiems vartotojams, o ne tik privilegijuotiems.

Įžymybės turi tas pačias saugumo priemones, kurias mes darome, todėl esame techniškai vienodai pažeidžiami. Tačiau, kadangi jų veidai džiaugiasi žurnalų ir teatro ekranų viršeliais, jie dažniausiai yra nukreipiami į dažniau.

Įžymybės taip pat ne visada naudojasi turimais saugumo protokolais. Pvz., Remiantis šiuo metu turima informacija, šios įžymybės galėjo būti apsaugotos nuo atakų, jei jos naudojo dviejų pakopų patvirtinimą, o tai papildomas žingsnis į pagrindinę prisijungimo procedūrą.

Kodėl pirmiausia jie turėtų laikyti debesyje nuotraukas?

Debesies atsarginės kopijos paslaugos, pvz., „Apple“ „iCloud“ ir „Google“ momentinis įkėlimas, dažnai įjungiamos pagal numatytuosius nustatymus, todėl galima įkelti nuotraukas į „iCloud“ be žinios apie įžymybes.

Pavyzdžiui, „iCloud“ „Photo Stream“ paslauga automatiškai įkelia jūsų „Apple“ įrenginyje įrašytas nuotraukas ir saugo jas „iCloud“ 30 dienų. Įjungus „Photo Stream“ įkėlimą, šios nuotraukos gali būti pasiekiamos iš bet kurio įrenginio, nesvarbu, kur esate pasaulyje, naudodami „iCloud“ kredencialus.

Ar turėčiau nerimauti?

Nors nesate Bradas Pittas ar Cameron Diaz, tai geras laikas peržiūrėti savo „iCloud“ saugumą. Nuotraukos nėra vieninteliai elementai, saugomi „iCloud“ - joje taip pat gali būti saugomi jūsų kontaktai, „iOS“ įrenginio vieta ir užrašai. Štai keletas veiksmų, kuriuos galite atlikti:

1. Įgalinti dviejų etapų patvirtinimą. Dabar.

Didžiausia apsauga nuo brutalios jėgos ir tikslinių atakų vis dar yra dviejų etapų patvirtinimas. Jis neapsaugos jūsų nuo problemų, pvz., Saugumo skylių, tačiau tai vis dar yra geriausias skydas nuo tikslinio įsilaužimo, kai kas nors gali gauti jūsų vartotojo vardą arba atsakymus į asmeninius saugumo klausimus, kad galėtumėte pasiekti paskyrą.

Įjungus, dviejų veiksnių autentifikavimas prie paskyros prisijungimo prideda antrąjį autentifikavimo lygį. Vienas iš dažniausių pavyzdžių yra kodas, siunčiamas į mobilųjį įrenginį, kuris turi būti naudojamas be vartotojo vardo ir slaptažodžio, kad galėtumėte prisijungti prie paskyros. Atlikite šiuos veiksmus, kad nustatytumėte „Apple ID“ dviejų etapų patvirtinimą.

Nenuostabu, kad „TechCrunch“ nurodo, kad „Apple“ dviejų pakopų prisijungimas yra skirtas tik apsaugoti vartotojus nuo neleistinų kredito kortelių pirkimų, tačiau vis tiek svarbu įgalinti, ypač jei bendrovė pataiso šią priežiūrą.

2. Išjunkite visas paslaugas, kurios iš tikrųjų nenaudojate

Jei pirmiausia nėra duomenų, nėra jokios priežasties jį nulaužti.

Ar netgi reikia „Photo Stream“ ar kitų „iCloud“ paslaugų, pvz., Kontaktų sinchronizavimo? Jei ne, išjunkite šias paslaugas. Norėdami tai padaryti, eikite į „iOS“ įrenginio „Settings“> „iCloud“ ir išjunkite nereikalingas paslaugas. Tada prisijunkite prie „iCloud.com“ ir ištrinkite anksčiau įkeltus „Photo Streams“.

3. Apsvarstykite galimybę naudoti netikrus atsakymus į saugumo klausimus

Ar tavo mama gimė Čikagoje? Tai puiku, bet turbūt turėtumėte naudoti kitą atsakymą. Naujausiose ataskaitose teigiama, kad įsilaužėliai naudojo socialinę inžineriją, kad sužinotų atsakymus į įžymybių saugumo klausimus, kurie galiausiai suteikė jiems prieigą prie sąskaitų. Jei norite, kad frenemies ar įsilaužėliai nepatektų į jūsų paskyrą, apsvarstykite galimybę naudoti netikrus, atsitiktinius atsakymus, kuriuos jie niekada negalėtų atrasti.

4. Darykite tą patį ir kitoms interneto paslaugoms

Apsvarstykite galimybę pakartoti tuos pačius veiksmus kitoms debesų paslaugoms, įskaitant „Dropbox“, „Android“ automatinę atsarginę kopiją arba net „Flickr“. Kuo labiau sumažinsite duomenis, kurie automatiškai įkeliami į debesį, tuo didesnė kontrolė, kurią turėsite per savo asmeninę informaciją.

Redaktoriaus pastaba: istorija atnaujinta trečiadienį 3:39 PST, kad atspindėtų naujausias ataskaitas apie dviejų etapų patvirtinimą ir kaip įsilaužėliai prisijungė prie sąskaitų.