Apple iCloud sızıntısı hakkında herşey

apple-icloud-sizintisi-hakkinda-herseyTüm dünya geçtiğimiz haftaki iCloud’dan sızan fotoğraflarla çalkalandı. Yaklaşık 100 kadar ünlünün özel fotoğrafları internette yayınladı. Peki bu saldırı nasıl ve hangi teknikler kullanılarak gerçekleştirilmişti?

Fotoğrafları sızdırılanlar arasında Kate Upton, Jennifer Lawrance, Kim Kardashian, Kirsten Dunst, Bar Rafaeli gibi 100 ünlü bulunuyordu. iCloud’dan sızdırılan bu fotoğraflara sebep olan bölüm ise “Find My iPhone” olarak adlandırılan bölüm. Find My iPhone kısmına web üzerinden eriştiğinizde doğal olarak belirli sayıda şifre denemesine izin veriliyor. Fakat Find My iPhone API’si üzerinden yapılan başarısız şifre denemelerinde ise herhangi bir kısıtlama yok.

İşte tam bu noktada adına iBrute denlien araç karşımıza çıkıyor. Bu araç bir süredir Github üzerinden dağıtılmakta. İndirenler Find My iPhone API’si üzerinden brute force yoluyla deneyip yanılarak şifre tahmini yapıyordu.

Denenen şifreler ise bugüne kadar hacklenen diğer web sitelerinden sızdırılan şifrelerin Apple’ın şifre politikasına uyanlarıydı. Apple şifre seçerken 8 karakter uzunluğunda olmasını, üçten fazla ard arda rakamlar olmamasını, içerisinde rakam, büyük harf ve küçük harf olmasını şart koşuyor. Bu basit şifrelerin sıralandığı listede; Password1, Princess1, P@ssw0rd, Passw0rd, Michael1 gibi kurallara uyan ama zayıf şifreler yer alıyordu.

Bu basit ama Apple’ın şifre kısmında kabul gören kombinasyonları deneyenler yaklaşık 100 kadar ünlünün iCloud hesabında bulunan mahrem fotoğraf ve bilgilere ulaşabildiler. Apple kısa süre önce bir apple-icloud-sizintisi-hakkinda-hersey-2dizi değişiklik yaparak artık iCloud’da bulunan veriler indirildiğinde veya kayıtlı olmayan bir cihazdan ulaşıldığında uyarı verecek şekilde yapılandırdı. Apple her ne kadar suçu olmadığını savunsa da sessiz sedasız Find My iPhone API’sine de hatalı şifre denemelerine karşı önlem aldı.

Bir diğer konuşulan olasılıktan da bahsetmemek olmaz. Fotoğrafların Bitcoin karşılığı satıldığ 4Chan’de bir süredir gizli bir grup kişinin fotoğraf değiş tokuşu yaptığına dair bilgiler yer alıyor. Bu grup ünlülerin hackledikleri telefonlarından, maillerinden veya bilgisayarlarından elde ettikleri fotoğrafları birbirleriyle değiş tokuş ediyorlardı. Bu gruba katılmak için ise elinde bir ünlünün daha önce yayınlanmamış fotoğrafı olması yeterli olduğu söylenmekte. Yine savunulan diğer bir tez bu grupta dolaşan fotoğrafların da bu sızıntıyla birlikte internette yayılmaya başladığı.

Hangi senaryo gerçekleşirse gerçekleşsin bulut bilişim üzerinde dönen kara bulutlar, verinin güvenli şekilde dolaşımının sağlanması ve kişisel mahremiyet konuları bu olay sayesinde önümüzdeki aylarda daha da öne çıkacak.