Na het ‘uitlekken’ van naaktselfie’s van celebrities als Kate Upton en Jennifer Lawrence, afgelopen weekend, hebben we tot nu toe vooral veel speculatie gehoord over de manier waarop de foto’s verkregen zouden zijn. Vooralsnog zitten we echter nog vooral met veel vragen over hoe de hack heeft plaats kunnen vinden, en eigenlijk zelfs over wie er nu precies gehackt is, en wat daar gevonden is. Daarnaast staat de veiligheid van de ‘cloud’ weer in schijnwerpers, hetgeen Apple -dat volgende week een nieuwe keynote houdt- enige hoofdbrekens zal bezorgen. Waarschuwingen over het gebruik van een dienst als iCloud betekenen niet dat we weten wat er nu gebeurd is.
Het kan opvallend genoemd worden dat dergelijke foto’s aan een externe dienst worden toevertrouwd. Tenminste, als de foto’s inderdaad uit een cloud-hack afkomstig zijn. Van de andere kant is het niet moeilijk om voor te stellen dat men bij toestemming voor het maken van een backup ‘in the cloud’ weinig idee heeft bij de precieze werking daarvan. Je geeft weliswaar zo expliciet toestemming tot het plaatsen van het beeldmateriaal buiten je eigen telefoon, maar dit gaat toch een heel stuk ondoorzichtiger dan wanneer je ‘zelf’ de bestanden iedere keer zou moeten uploaden. Laat staan dat je over de veiligheid van die dienst nadenkt.
Het Nationaal Cyber Security Centrum (NCSC) waarschuwt al enige tijd in een speciale factsheet voor de risico’s van de zogenoemde cloud. De hack die afgelopen weekend aan het licht kwam leidt dan ook niet tot meer of scherpere waarschuwingen van het centrum. “Mensen moeten voorzichtig zijn”, aldus een woordvoerder tegenover ANP. In de factsheet stelt het NCSC dat gebruikers “de beveiliging van dergelijke diensten niet zelf in de hand hebben en dat die niet altijd afdoende is” en “U moet altijd voorzichtig zijn met het online opslaan van uw vertrouwelijke gegevens. De onlinebestanden zijn direct toegankelijk voor iedereen die uw inloggegevens (vaak gebaseerd op e-mailadres en wachtwoord) weet te achterhalen”.
Hoewel het er op lijkt dat de iCloud-dienst van Apple doelwit is geweest van hackers, en de foto’s op die manier zijn buitgemaakt is dit allerminst zeker. Speculeren over de manier van aanvallen is daarom even prematuur als stellen dat het (enige) doelwit Apple was. Het is daarbij vooral onwaarschijnlijk dat er gebruik gemaakt is van ‘antwoorden op de geheime vraag’ raden, zoals in het verleden soms gegevens van telefoons werden buitgemaakt. Wel is bekend dat tot niet heel lang geleden het ‘raden’ van wachtwoorden bij Apple ongelimiteerd kon.
Het blijft in deze zaak nog de vraag wie er precies slachtoffer waren, een hetero-man als dader zou de vraag “waarom alleen vrouwen?” wellicht beantwoorden, maar het is allerminst zeker dat hij niet ook toegang tot andere accounts had. Van de celebrities van wie bekend is dat ze door de hack zijn getroffen hebben in ieder geval een aantal melding van de datadiefstal gedaan bij de autoriteiten.
Zowel de FBI als Apple onderzoeken nu inmiddels de zaak, en vooral die laatste zal er veel aan gelegen zijn het een en ander snel boven water te krijgen. Zij zullen bij hun keynote op 9 september waarschijnlijk sowieso de pers op hun dak krijgen over de voorgenomen verdergaande integratie van de Apple-systemen met iCloud. Dat de iPhone-fabrikant bovenop de zaak zit wil echter niet zeggen dat (alleen) zij ook daadwerkelijk slachtoffer zijn. Wel wordt steeds duidelijker dat de diefstal niet het afgelopen weekend heeft plaatsgevonden.
De foto’s kwamen in de publiciteit nadat ze op ‘imageboard’ 4chan werden gepost door bezoekers, maar voor die tijd deden ze al de ronde op ‘AnonIB’, een imageboard dat zich richt op naakt. Bovendien liet actrice Mary Winstead op Twitter weten dat de foto’s van haar al een tijd terug door heaarzelf verwijderd zouden zijn, hetgeen duidt op ofwel een hack een lange tijd geleden, ofwel -wat verder gezocht- een hack op een backup bij Apple zelf waarin deze foto’s nog stonden. (Een andere optie is dat de verwijderde foto nog wel in de ‘Photostream’ aanwezig was, een optie om foto’s tussen Apple-apparaten te delen.)
Knowing those photos were deleted long ago, I can only imagine the creepy effort that went into this. Feeling for everyone who got hacked.
— Mary E. Winstead (@M_E_Winstead) August 31, 2014
Wie er precies doelwit waren weten we dus niet, alleen dat er nu naaktfoto’s van vrouwelijke sterren online staan. Daarbij kan het gaan om ofwel een doelgerichte actie, of om een grotere zaak waarbij dit zulke opzienbarende ‘vondsten’ waren dat alleen deze door de dader(s) werden gepubliceerd. De verantwoordelijke hacker zou nu op de vlucht zijn. Het lijkt gezien de betrokkenheid van AnonIB onwaarschijnlijk dat hij geheel alleen handelde, en het is daarnaast maar de vraag of zijn methode niet ook door anderen is gebruikt. Dat een hack op iCloud is aangevuld met materiaal uit andere bronnen is daarbij ook nog eens heel goed mogelijk.
Er wordt online gediscussieerd over de vraag wiens ‘schuld’ de hack zou zijn, enigszins bevreemdend omdat die schuld natuurlijk ligt bij degene die de foto’s buit maakt. Desondanks is het af te raden al té privé materiaal online (in de cloud) te bewaren. Je kunt je afvragen of de sterren in kwestie -die zich waarschijnlijk ergens wel bewust zijn van hun status als doelwit door hun bekendheid- precies wisten waar ze hun foto’s lieten. “Als je iets niet online elders wil terugvinden, moet je het niet in een cloud zetten”, zegt Arnoud Wokke van Tweakers.net tegenover ANP. Dat is geen kwestie van de schuld bij de getroffenen leggen, maar wel een vuistregel voor ‘slim’ gebruik van de diensten waar je toegang toe hebt.
(TPO / ANP)