Vijf dagen na het uitlekken van naaktfoto’s van beroemdheden zoals actrice Jennifer Lawrence, is duidelijk dat er ‘geen sprake is van een lek in het systeem’, zegt Apple. De vraagt rest: hoe zijn de hackers dan te werk gegaan?
Het is inmiddels bijna een week na het uitlekken van een groot aantal naaktfoto’s van tal van celebrities, waaronder die van ‘de meest sexy vrouw van 2014’, actrice Jennifer Lawrence (24).
Foto’s
Er is iets meer duidelijkheid over hoe de hacker, of hackers, te werk is gegaan. Zo zouden de hackers enkele maanden zijn bezig geweest met het verzamelen van de foto’s, en hebben zij geprobeerd de foto’s te verkopen.
Apple vindt dat er geen sprake is geweest van ‘een lek in het Apple- systeem’, inclusief iCloud, maar dat er wel sprake is geweest van een ‘zeer gerichte aanval op gebruikersnamen, wachtwoorden en beveiligingsvragen.’
Dat roept de vraag op: hoe is de hacker te werk gegaan, en wiens fout is het uitlekken van die foto’s eigenlijk? Van Lawrence of van de hackers?
Hacken
Journalist Nik Cubrilovic van The Guardian heeft zich verdiept in de ondergrondse subcultuur van de ‘celebrity-naaktheid en revenge porn.’ Uit zijn onderzoek blijkt dat er hele online gemeenschappen zijn waarin, op basis van een strakke taakverdeling, wordt gehackt.
Zo’n hackproces ziet er als volgt uit. De hackers starten met het afstruinen van sociale media, op zoek naar persoonlijke informatie die ze zouden kunnen gebruiken om in te breken op iemands online account – denk aan mogelijke antwoorden op persoonlijke vragen en e-mailadressen.
Vervolgens wordt deze informatie gebruikt om target data zoals wachtwoorden te achterhalen. En, als dit allemaal is gelukt, dan kan er worden ingelogd en kunnen de data eventueel worden verspreid.
Cubrilovic is ervan overtuigd dat Apple-accounts vatbaar zijn voor hackpraktijken, vanwege de vele manieren waarop informatie over persoonlijke gegevens te verkrijgen is via de diensten van Apple. Zo geeft het Amerikaanse bedrijf aan dat een e-mailadres is gekoppeld aan een iCloud-account.
Daardoor is een account eenvoudig te traceren voor een hacker. Ook zegt hij dat, vanwege het feit dat de foto’s naar buiten zijn gekomen, er duidelijk iets verkeerd is gegaan in dit hackingsproces.
Het is namelijk gebruikelijk dat deze foto’s blijven circuleren in hackerskringen. Maar er zat ‘iemand tussen die de kans om geld te verdienen te goed vond om te laten gaan, en besloot om een aantal van de foto’s te koop aan te bieden,’ zegt Cubrilovic.
Phishing
Het is vooral de tweede stap, het vinden van de target data, waarin het echte werk plaatsheeft.
De drie populairste manieren om aan deze gegevens te komen zijn: het resetten van het wachtwoord (door geheime vraag en antwoord), een phishing email en inhalen van het bestaande wachtwoord (als een email account gehackt is).
Schuldvraag
Tot slot rest de vraag in hoeverre iemand iets kan doen tegen de acties van deze hackers. Met andere woorden: is het misschien Lawrence’s eigen schuld dat ze gehackt is?
Als ze haar wachtwoord heeft gegeven via haar email, dan zou dat op z’n minst onverstandig zijn. Dat doet natuurlijk niets af aan het feit dat de acties van de hackers illegaal zijn.
Mochten de hackers worden gepakt, dan lijkt hen een zware straf boven het hoofd te hangen. In 2011 is een man opgepakt omdat hij het email-account van onder anderen actrice Scarlett Johannsen had gehackt.
De man werd veroordeeld voor onder meer identiteitsdiefstal. De hacker van Johansson werd veroordeeld tot tien jaar gevangenisstraf en een boete van ruim 66.000 dollar. Dit is mogelijk ook een straf die de hackers van Jennifer Lawrence tegemoet kunnen zien.