Man steelt via phishingmails 620.000 privéfoto's uit iCloud-accounts
Een 40-jarige Amerikaanse man heeft bekend dat hij door middel van phishingmails toegang tot tenminste 306 iCloud-accounts heeft gekregen en zo meer dan 620.000 privéfoto's kon stelen (pdf). Daarin zocht hij naar naaktfoto's van vrouwen. In de phishingmails deed de man zich voor als Apple-medewerker en werd slachtoffers gevraagd om hun inloggegevens te wijzigen. Zo wist hij het Apple ID en wachtwoord van slachtoffers te ontfutselen.
De FBI ontdekte twee e-mailadressen die de man voor zijn phishingaanvallen gebruikte en waar zo'n 4700 Apple ID's en wachtwoorden naar toe waren gestuurd, zo meldt de Los Angeles Times. Met deze gegevens kon de man inloggen op de iCloud-accounts van zijn slachtoffers en daarin naar foto's zoeken. Die deelde hij vervolgens op internet. Volgens de aanklacht was de man van september 2014 tot tenminste mei 2018 hiermee bezig.
Tijdens een huiszoeking in mei van dit jaar bekende de Amerikaan dat hij op verzoek van anderen de iCloud-accounts van zo'n tweehonderd slachtoffers had gecompromitteerd. De man beschikte over meer dan één terabyte aan foto's en video's.
kies voor prive bestanden op lokaal niveau (Eigen beheer) thuis en
niet op een cloud server.
Diederik
Het is voor kwaadwillenden wel een stuk bewerkelijker als privé-data ook echt privé worden bewaard. En als iemand een phishing mail krijgt, helpt het ook als hij/zij niet met een click zijn account in de cloud toegankelijk kan maken, maar eerst even moet nadenken: wil ik deze naaktfoto's nu echt uploaden naar deze medewerker van de firma Apple?
Het is voor kwaadwillenden wel een stuk bewerkelijker als privé-data ook echt privé worden bewaard. En als iemand een phishing mail krijgt, helpt het ook als hij/zij niet met een click zijn account in de cloud toegankelijk kan maken, maar eerst even moet nadenken: wil ik deze naaktfoto's nu echt uploaden naar deze medewerker van de firma Apple?
Wat is er vreemd aan Diederik's standpunt? Niets.
Ongeveer een jaar geleden wilde ik foto's (hele gewone) laten afdrukken bij mijn vaste fotozaak aan de straat. Die fotozaak was er niet meer. Ik kan die foto's alleen nog laten afdrukken als ik ze via internet verstuur. En dan natuurlijk instem met een privacy-verklaring die zo lek is als een mandje en zonder dat ik controle heb wat er echt met die beelden gebeurt.
Het schijnt dat er ergens nog automaten zijn waar je stand-alone je foto's kan afdrukken. Maar daar ben ik nog niet aan toegekomen. Misschien moet ik maar een hele dure printer aanschaffen of zoiets.
Op deze manier is "fotoservice met privacy" in de praktijk afgeschaft. Maar wie weet komt het ooit nog weer terug, als mensen wakker worden.
Waarom zou ik een fan willen zijn,maar je hoeft ook geen fan te zijn
als je een service gebaseerd op cloud en algoritmes gebruikt,ten slotte blijft het een server die kwetsbaar kan zijn
door een slechte configuratie en updates die ontbreken,het is dan vaak mosterd na de maaltijd,
met een extra risico om gehackt te worden en dit nog los gezien van de phishing aanvallen via email op je
eigen device.
Diederik
Het is voor kwaadwillenden wel een stuk bewerkelijker als privé-data ook echt privé worden bewaard. En als iemand een phishing mail krijgt, helpt het ook als hij/zij niet met een click zijn account in de cloud toegankelijk kan maken, maar eerst even moet nadenken: wil ik deze naaktfoto's nu echt uploaden naar deze medewerker van de firma Apple?
Op dit forum is vermoedelijk 99% een IT'er. In dit geval is privé bewaren - bijvoorbeeld op een NAS - veiliger. Maar 95% van de bevolking is minder goed met IT is onderlegd. Dan leveren al die privé servertjes weer andere risico's op. Kijk bijvoorbeeld op Shodan hoeveel NAS'jes er onbeveiligd aan het internet hangen. Zie ook de lange lijst aan kwetsbaarheden van QNAP NAS systemen. En zo zijn er nog wel een paar risico's te verzinnen.
Het opslaan van informatie in netwerken die (wereldwijd) toegankelijk zijn leveren simpelweg altijd bepaalde risico's op.
Het is voor kwaadwillenden wel een stuk bewerkelijker als privé-data ook echt privé worden bewaard. En als iemand een phishing mail krijgt, helpt het ook als hij/zij niet met een click zijn account in de cloud toegankelijk kan maken, maar eerst even moet nadenken: wil ik deze naaktfoto's nu echt uploaden naar deze medewerker van de firma Apple?
Op dit forum is vermoedelijk 99% een IT'er. In dit geval is privé bewaren - bijvoorbeeld op een NAS - veiliger. Maar 95% van de bevolking is minder goed met IT is onderlegd. Dan leveren al die privé servertjes weer andere risico's op. Kijk bijvoorbeeld op Shodan hoeveel NAS'jes er onbeveiligd aan het internet hangen. Zie ook de lange lijst aan kwetsbaarheden van QNAP NAS systemen. En zo zijn er nog wel een paar risico's te verzinnen.
Het opslaan van informatie in netwerken die (wereldwijd) toegankelijk zijn leveren simpelweg altijd bepaalde risico's op.
90% van de bevolking wil sowieso niet serieus nadenken over beveiliging en begrijpt alleen de alleroppervlakkigste, eerste laag van de interface: "hap-klik". Bij de vraag: "Wilt u onze optimale cookies?" denken ze niet: voor wie zijn deze cookies eigenlijk "optimaal" en waarom? Nee, ze klikken meteen op akkoord om "verder" te kunnen. Maar als je kijkt naar de groep die wel serieus wil beveiligen maar zelf geen IT'er is, laten we zeggen 5% van de gebruikers, dan kunnen die het verschil tussen privé-opslag (in een doosje, in een usb'tje) en opslag op een server kilometers ver weg (misleidend "in de cloud" genoemd, want die servers staan gewoon op de grond) nog wel begrijpen.
Verreweg de meeste mensen hebben het helemaal niet nodig dat hun info "wereldwijd toegankelijk" is. Ze gaan één of twee keer per jaar op vakantie en kunnen best een paar weekjes zonder hun foto-albums. Het wordt ons door de IT-industrie en aardig wat IT'ers aangepraat dat het "handig" zou zijn om alles "in de cloud" op te slaan. Wij van WC-eend adviseren WC-eend. Alleen gaat dat wel ten koste van de veiligheid van privé-informatie van grote massa's goedgelovige, manipuleerbare mensen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
