Negen jaar cel voor man die naaktfoto's uit honderden iCloud-accounts stal
Een 41-jarige Amerikaanse man die naaktfoto's, video's en andere data uit de iCloud-accounts van honderden vrouwen wist te stelen en verspreiden is in de Verenigde Staten veroordeeld tot een gevangenisstraf van negen jaar. De man, die online het alias "icloudripper4you" gebruikte, wist via phishing de inloggegevens van zijn slachtoffers te bemachtigen. In phishingmails deed de man zich voor als Apple-medewerker en vroeg slachtoffers om hun inloggegevens te wijzigen. Zo wist hij het Apple ID en wachtwoord van slachtoffers te ontfutselen.
In verschillende e-mailaccounts van de verdachte werden iCloud-inloggegevens van zo'n 4700 slachtoffers aangetroffen. Verder bleek de man zo'n 3,5 terabyte aan data uit de iCloud-accounts van zeker vijfhonderd slachtoffers te hebben gedownload. Eerder werd al gemeld dat het om meer dan 620.000 privéfoto's en 9.000 video's van vrouwen ging. De Amerikaan deelde de gestolen afbeeldingen honderden keren met anderen. Sommige van deze personen maakten de foto's weer openbaar. Volgens de autoriteiten was de man van september 2014 tot tenminste mei 2018 met stelen van de data bezig.
Wat dàt niet een gezeik zou schelen!
En de komende negen jaren zullen ook niet echt boeiend zijn.
Misschien weet hij na die negen jaren nog wat van zijn leven te maken.
Dat je van dat soort exclusieve zaken foto's maakt en op internet publiceert, begrijp ik nog wel.
Maar naaktfoto's maken... dat begrijp ik dan weer niet.
Wat dàt niet een gezeik zou schelen!
Wel eens op het idee gekomen om NOOIT naaktfoto's online te plaatsen?
Dat je van dat soort exclusieve zaken foto's maakt en op internet publiceert, begrijp ik nog wel.
Maar naaktfoto's maken... dat begrijp ik dan weer niet.
Als je ietwat trots bent op jezelf - of op je partner - kan ik echt wel begrijpen dat je ook foto's in volle glorie maakt om nog eens van te genieten . Des te meer als je de partner niet permanent om je heen hebt.
Het geklungel van zo'n Rob Kamphues laat precies zien wat het risico is om het ook te _doen_ - naast dit soort hack-risico's -maar dat er stellen zijn die het onderling waarderen is beslist waar.
1) - er is niet gezegd dat alle logins tegelijkertijd gebeurden - sterker, ze gebeurden over een periode van vier jaar (2014-2018)
Dat is dus gemiddeld 120 accounts per jaar, of ongeveer elke drie dagen een andere login
2) - het is "best normaal" dat ISP adressen niet statisch zijn , oftewel, dezelfde gebruiker kan op een ander moment een ander IP hebben .
3) Je denkt dat de hele wereld nog met een uniek IPv4 adres per aansluiting werkt ? Carrier NAT zal steeds vaker voorkomen. (mobiele netwerken zijn al heel lang CGNAT gebaseerd - vaste ISPs gaan ook die kant op).
Als JIJ bij Apple aan de knoppen zat - welke foutkans zou je accepteren om een gebruiker die met juiste password inlogt te blokkeren alleen omdat vanaf het IP dat die gebruiker ip dat moment heeft in het verleden of recenter op andere accounts ingelogd is ?
Studentenflats met allemaal iPhones - dan komen er al veel unieke logins vanaf weinig IPs
Heuristiek is niet zo simpel. En te snel deny'en heeft - in dit soort scenario's - heel erg reëele kosten.
Security mensen denken vaak veel te simpel "beter honder keer onterecht geweigerd dan één keer onterecht doorgelaten" - de keus kan zelden zo gemaakt worden.
Is in het geval van Apple helaas lastiger dan je zou denken. Ik heb zakelijk een iPhone gekregen en het kostte me naar mijn idee onredelijk veel moeite om te zorgen dat de data, waaronder foto's, NIET naar de iCloud gesynced en/of gebackupped werden. Het was niet eenvoudig om wel een apple id te hebben (eerst "log out" gedaan, maar dan krijg je ook geen updates meer en je kan geen apps meer installeren) maar geen icloud account. Standaard gaat dan gelijk alles naar die icloud toe, waaronder foto's. Er is niet, voor zover ik gevonden heb althans, een enkel knopje waarmee je kan zeggen "disable de icloud geheel en volledig en stop met er om de haverklap over zeiken dat je wil dat ik backups maak en de icloud enable". Ik vind het dus ook niet heel raar dat er heel veel mensen met een iphone zijn waarvan de genomen foto's ook in hun icloud zijn opgeslagen. Dat is dus ook niet "zelf online plaatsen". In het artikel staat duidelijk dat de man via phising toegang had weten te krijgen tot die icloud accounts. De slachtoffers hebben er dus duidelijk niet zelf voor gekozen om hun foto's openbaar te publiceren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.