Internet đang "phát sốt" vì vụ lộ ảnh nóng trên diện rộng gây ảnh hưởng tới một loạt các ngôi sao đình đám như Jennifer Lawrence, Kate Upton và Rhinna. Đằng sau sự cố tai tiếng này chính là một trong những dịch vụ đám mây đình đám nhất thế giới: iCloud.
Được yêu quý vì tài năng và cá tính rất thông minh, hình ảnh của J. Lawrence đã bị ảnh hưởng nặng nề bởi scandal vừa qua
Internet những ngày cuối tuần sục sôi vì scandal "Celebgate" - vụ lộ ảnh nóng của các sao nữ đình đám đến từ nước Mỹ. Jennifer Lawrence, Jenny McCarthy, Rihanna, Kate Upton, Mary Elizabeth Winstead, Kirsten Dunst, Ariana Grande và Victoria Justice là một vài tên tuổi đáng chú ý nhất trong số hơn 100 ngôi sao (con số chưa được xác nhận) bị lộ ảnh nhạy cảm, trong đó siêu sao điện ảnh Lawrence đã buộc phải xác nhận tính xác thực của các bức ảnh nhạy cảm này.
Cơ quan Điều tra Liên bang Mỹ (FBI) đã lên tiếng xác nhận về "các cáo buộc liên quan tới việc xâm nhập vào máy tính và việc phát tán các nội dung liên quan tới nhiều người nổi tiếng" và hiện đang tiếp tục điều tra. Vậy, thế lực nào đã đứng đằng sau vụ việc mất mặt này?
Câu trả lời là Apple. Một cách không cố ý.
iCloud, nơi lưu trữ nhiều thông tin nhạy cảm của người dùng
Theo tuyên bố chính thức mới được đưa ra, Apple cho biết hiện đang điều tra xem liệu có phải lỗ hổng bảo mật trên iCloud là nguyên nhân gây ra vụ rò rỉ ảnh riêng tư đình đám này hay không. Quả táo cũng cho biết "rất coi trọng vấn đề quyền riêng tư của người dùng" và cũng đã sửa lỗ hổng bảo mật cho phép hacker có thể thu thập được khối lượng dữ liệu khổng lồ từ các ngôi sao.
iBrute – Tấn công brute force vào iCloud
Dù cho Apple có tuyên bố gì đi chăng nữa, việc các chuyên gia phần mềm của nhà sản xuất này để cho lỗ hổng nói trên tồn tại vẫn là không thể chấp nhận được. Apple vẫn chưa thừa nhận cụ thể rằng lỗ hổng bảo mật của họ là do tấn công brute force (sử dụng siêu máy tính và thử nghiệm một lượng khổng lồ các mật khẩu/tên người dùng cho đến khi đăng nhập thành công), song các bằng chứng mới được phát hiện cho thấy đây có thể là kiểu tấn công dùng để nhắm vào Lawrence, Upton và những người khác.
Công cụ iBrute đã được sử dụng để tấn công thành công vào iCloud
Cụ thể hơn, chỉ khoảng vài ngày trước đây, một số hacker/chuyên gia bảo mật đã phát hiện ra một lỗ hổng trên dịch vụ Find My iPhone (tìm iPhone đã mất). Bằng cách sử dụng mã nguồn Python, các hacker này đã kết hợp 1 loạt email và password cho đến khi đăng nhập thành công vào Find My iPhone. Đoạn mã nguồn này sau đó đã được đưa lên GitHub (một dịch vụ lưu mã nguồn) và được công khai cho toàn bộ Internet truy cập.
Cho đến tận ngày 1/9, dịch vụ Find My iPhone của Apple vẫn cho phép người dùng có thể thoải mái nhập bao nhiêu tên tài khoản và mật khẩu tùy ý. Công cụ tấn công brute force vào iCloud do các hacker nói trên chế tạo được đặt tên "iBrute". Chỉ không đầy 1 tuần sau khi được công bố, iBrute đã bị thay đổi từ 1 công cụ chứng minh ý tưởng của hacker mũ trắng trở thành một công cụ phát tán ảnh riêng tư.
Sau khi Celebgate xảy ra, Apple mới vá lỗ hổng tường chừng rất đơn giản này trên iCloud
Thực tế, tấn công brute force là một kiểu tấn công đã quá quen thuộc. Các dịch vụ mạng thông thường có nhiều biện pháp để chống lại kiểu tấn công này, ví dụ như ngăn chặn không cho đăng nhập chỉ sau 3 - 5 lần đăng nhập không thành công. Ngay chính cả Apple cũng có nhiều chế độ bảo mật cho người dùng nếu như họ nhập passcode sai quá nhiều lần trên iPhone và iPad.
Hoặc, Apple cũng có thể sử dụng bảo mật xác thực 2 yếu tố (2-factor verification; yêu cầu thêm mã xác thực được gửi tới 1 tài khoản email hoặc 1 số điện thoại khác với tài khoản đang đăng nhập). Hình thức bảo mật này đã trở nên phổ biến từ năm ngoái, và cũng đã được Apple cung cấp cho Apple ID. Rất tiếc, Apple chỉ cung cấp xác thực 2 yếu tố dưới hình thức tùy chọn không bắt buộc và cũng không hối thúc người dùng áp dụng bảo mật 2 yếu tố như Google hay Microsoft.
Nhiều chuyên gia bảo mật đã lên tiếng chỉ trích Apple vì sai lầm này. "Nhìn chung Apple đã hơi chậm chân trong cuộc đấu về hình thức bảo mật này, và cũng đã không quảng bá cho nó đúng mức", Darien Kindlund, giám đốc nghiên cứu rủi ro tại FireEye khẳng định.
Sai lầm nối tiếp sai lầm
Nữ diễn viên K. Dunst (Người Nhện) đổ lỗi trực tiếp cho iCloud vì sự cố của mình.
Thậm chí, đây còn không phải là lần đầu tiên Apple ID bị tấn công bằng brute force. Vào mùa xuân vừa qua, một số người dùng iPhone và iPad tại Úc đã bị đánh cắp tài khoản và bị hacker bắt phải trả tiền chuộc để lấy lại tài khoản của mình. Các tài khoản đã thực hiện xác thực 2 yếu tố từ trước hoàn toàn không bị ảnh hưởng bởi cuộc tấn công này.
Mặc cho Apple ID có chứa tất cả các thông tin nhạy cảm của người dùng (số điện thoại, email, danh bạ, địa chỉ và cả thông tin ngân hàng/thẻ tín dụng), Apple cũng không hề đưa ra cảnh báo trong trường hợp tài khoản Apple ID bị đăng nhập không thành công quá nhiều lần (điều chắc chắn sẽ xảy ra khi tấn công brute force). Apple cũng không hề kiểm tra địa chỉ IP hoặc các hình thức định danh vị trí khi người dùng thực hiện đăng nhập quá nhiều lần.
Xác thực 2 yếu tố đã được cung cấp cho iCloud từ lâu, nhưng chưa được Apple khuyến cáo sử dụng đúng mức
Nếu bạn thường xuyên sử dụng Gmail hoặc Facebook, bạn sẽ nhận thấy các dịch vụ này luôn lưu lại thông tin đăng nhập bất thường (máy tính "lạ" hoặc thông tin về lần đổi mật khẩu gần nhất). Từ sự cố Apple Maps, Quả táo đã tỏ ra kém cỏi hơn hẳn các ông lớn khác về dịch vụ dữ liệu, và sự cố "Celebgate" (celeb: ngôi sao, gọi lái theo vụ scandal Watergate) lần này lại càng cho thấy sự kém cỏi của bộ phận dịch vụ dữ liệu tại Apple.
Từ sự cố này của J. Lawrence và K. Upton, tự bạn cũng có thể rút ra được bài học cho chính mình. Người dùng luôn là người bị ảnh hưởng nhiều nhất khi sự cố xảy ra, do đó chúng ta cũng sẽ chịu trách nhiệm lớn nhất về mức độ an toàn thông tin của mình. Bạn sẽ phải sử dụng các mật khẩu mạnh, sử dụng xác thực 2 yếu tố và hãy cân nhắc mã hóa các nội dung tuyệt mật của mình.
Dù sao đi chăng nữa, vụ scandal đình đám này cũng đã cho thấy nguy cơ khủng khiếp từ các dịch vụ đám mây và các thiết bị di động. Có lẽ, trong thời gian tới, Apple và rất nhiều các công ty khác sẽ buộc phải xem xét lại chính sách dịch vụ của mình để tránh một "Celebgate" thứ 2.
Theo Vnreview
0 nhận xét:
Đăng nhận xét