De maand september begon voor sterren als Jennifer Lawrence, Kate Upton en Kirsten Dunst niet goed. Naaktfoto's van tientallen bekende vrouwen lekten uit via onder meer iCloud. Hoe kon dat gebeuren?

De honderden foto's die op internet opdoken, waren deels afkomstig uit iCloud, bevestigde de lekker. Van een lek bij de clouddienst van Apple is volgens het bedrijf echter geen sprake. Hoewel niet alle foto's uit iCloud zijn gestolen, lijkt een groot deel daar wel uit afkomstig te zijn.

Automatisch synchroniseren

Als je een iPhone of iPad voor het eerst inschakelt, wordt gevraagd om een koppeling met een iCloud-account. Je maakt een nieuw account aan of logt in met een bestaande. iCloud is de cloudopslagdienst van Apple waarin bestanden en foto's kunnen worden bewaard.

Bij een koppeling tussen een iPhone en iCloud worden gemaakte foto's automatisch gesynchroniseerd met de cloud. Na het maken van een foto staat de afbeelding dus op de smartphone én in iCloud. Verwijder je hem van je telefoon, blijft de foto in de cloud bewaard.

Van deze automatische synchronisatie is niet iedereen op de hoogte. Bij Instellingen > iCloud > Foto's kan de automatische synchronisatie worden uitgeschakeld. Weten welke foto's er al in iCloud staan? Kijk in de Foto-app bij het kopje 'Gedeeld'.

Geen lek misbruikt

Apple bevestigt dat er een hack heeft plaatsgevonden. Dat wil zeggen dat iemand zonder toestemming accounts is binnengedrongen. Er is volgens Apple echter geen gebruikgemaakt van een lek waar eerder wel over gesproken werd.

Een dag voor de publicatie van de naaktfoto's dichtte Apple namelijk een lek in Find My iPhone. De dienst om op afstand te zien waar een iPhone zicht bevindt, had geen bescherming tegen het oneindig invoeren van wachtwoorden. Normaal blokkeert een dienst na een x aantal keer het foute wachtwoord te hebben opgegeven.

Bij Find My iPhone was dat niet zo en konden kwaadwillenden dus duizenden wachtwoorden geautomatiseerd invoeren. Volgens Apple is dit lek in het geval van de accounts waar de foto's van gestolen zijn dus níet misbruikt.

Twee-staps-verificatie

Apple raadt gebruikers aan sterke wachtwoorden te gebruiken en verwijst naar de mogelijk om twee-staps-verificatie in te voeren waardoor je bij het benaderen van een account altijd via bijvoorbeeld een sms'je of twee apparaat een extra code moet invoeren.

Die extra beveiliging werkt echter alleen bij het inloggen bij een Apple-account om het account te beheren, bij het doen van een aankoop uit iTunes of de App Store of bij het ontvangen van ondersteuning van Apple gekoppeld aan een Apple ID.

Bij de synchronisatie van een iCloud-account wordt de twee-staps-verificatie niet ondersteund en dus is het opmerkelijk dat Apple er in de officiële verklaring rondom de sterrenhack wel naar verwijst.

Wachtwoorden geraden

Het bedrijf achter iCloud houdt het er in de verklaring op dat de hacker de wachtwoorden moet hebben geraden. Volgens Apple ging het om een zeer gerichte aanval op een specifieke aantal account. De wachtwoorden of beveiligingsvragen zouden zijn geraden.

Hoe dat gebeurd zou zijn, blijft gissen, maar er is een aantal mogelijkheden. Het kan bijvoorbeeld komen door een te eenvoudig wachtwoord dat binnen enkele keren geraden is of door een hack bij een ander bedrijf waar hetzelfde wachtwoord wordt gebruikt.

Het is echter niet de eerste keer dat producten van Apple ter discussie staan. Voor het Find My iPhone-lek moest Apple al een beveiligingslek in Mac OS X dichten waardoor het mogelijk was via een onbeveiligd wifi-netwerk e-mails en andere data te onderscheppen.

In de afgelopen jaren bleek het bovendien meerdere malen mogelijk het wachtwoord van een iPhone te omzeilen en toegang te krijgen tot onder meer de foto's en contacten. Bovendien werden in het verleden meerdere malen kleine en grotere beveiligingslekken in iCloud en Apple ID ontdekt.