Apple erkent kraken van iCloud-accounts, maar vindt zichzelf niet schuldig

iCloud-accounts van veel vrouwelijke beroemdheden werden gekraakt om toegang te krijgen tot privéfoto's. Foto ANP / Lex van Lieshout

De privéfoto’s van tientallen beroemde vrouwen die afgelopen weekend op internet werden gezet door een hacker, zijn inderdaad verkregen via Apples opslagdienst iCloud. Maar het bedrijf heeft zelf naar eigen zeggen geen fouten gemaakt.

Het waren vrijwel allemaal beroemde actrices en zangeressen, van wie zondag plotseling naaktfoto’s op internet circuleerden. Een hacker claimde toen al dat hij toegang tot die foto’s had verkregen door iCloud - de dienst van Apple die foto’s (vaak automatisch) opslaat in the cloud, dus op een externe server. Actrice Jennifer Lawrence zat erbij, model Kate Upton, zangeres Ariana Grande. Sommigen van hen dreigden met juridische stappen, anderen ontkenden dat ze het echt waren op de foto’s.

Het gaat volgens Apple, dat “meer dan 40 uur onderzoek” deed naar de hack, om “zeer gerichte aanvallen” op de accounts van beroemdheden.

“In geen van de onderzochte gevallen was een fout van Apple de oorzaak, met inbegrip van iCloud of Zoek Mijn iPhone”.

Kortom: de gebruikersnamen, wachtwoorden en veiligheidsvragen van de accounts zouden zijn geraden.

Een korte verklaring, die vragen onbeantwoord laat. Juist een kwetsbaarheid van iCloud-onderdeel Zoek Mijn iPhone, waarmee je de locatie van je toestel kunt achterhalen als je hem kwijt bent, zou erg goed de oorzaak kunnen zijn geweest. Techredacteur Marc Hijink schreef vanmorgen in nrc.next:

Dit onderdeel van iCloud was niet goed beschermd tegen software die geautomatiseerd veelgebruikte wachtwoorden uitprobeert. Dankzij dit enigszins knullige gebrek konden kwaadwillenden de toegang forceren tot zwak beveiligde Apple-accounts.

Oftewel: wie een slecht wachtwoord had (zoals een bestaand woord) was erg kwetsbaar. Als je duizenden keren achter elkaar een wachtwoord kunt proberen zonder dat er op enig moment een blokkade wordt opgeworpen, kun je met geautomatiseerde software een heel woordenboek op het inlogscherm loslaten.

De kwetsbaarheid is inmiddels gerepareerd: nu is er een maximaal aantal inlogpogingen van twintig en is het veelvuldig afvuren van veelgebruikte wachtwoorden onmogelijk.

Tot vanavond stond nog niet vast dat de foto’s daadwerkelijk waren uitgelekt via iCloud, omdat Apple nog niet gereageerd had.

Lees ook bij NRC Q: Naaktfoto’s beroemdheden gelekt. Hoe veilig is Apple’s iCloud?