De hacker die naaktfoto's van tientallen sterren in handen wist te krijgen, heeft hier mogelijk speciale politiesoftware voor gebruikt. Bovendien beschikt hij waarschijnlijk over nog veel meer gevoelige informatie.

Dat schrijft Wired op basis van berichten op een forum voor hackers en na gesprekken met diverse hackers en beveiligingsdeskundigen.

Maandag werden naaktfoto's van tientallen bekende vrouwen gepubliceerd die deels afkomstig zijn uit clouddienst iCloud.

Hoe de hacker precies aan de foto's is gekomen, is onduidelijk, hoewel Apple een lek tegenspreekt. Duidelijk is dat de persoon ingebroken heeft op accounts, maar hoe hij aan de wachtwoorden kwam is niet zeker.

Politiesoftware

Volgens het artikel van Wired is gebruikgemaakt van de software Elcomsoft Phone Password Breaker (EPPB) waarmee opsporingsdiensten gehele accounts kunnen downloaden met alle bijbehorende data. De software is ook illegaal via torrentsites verkrijgbaar en wordt door hackers misbruikt.

Voor het gebruik van EPPB is wel het wachtwoord van een account nodig, maar daarmee kan dan alle data in één pakket worden gedownload. Normaal is het na inloggen bij iCloud alleen mogelijk de foto's te downloaden.

Dat betekent dat de hacker mogelijk veel meer informatie over de sterren in handen heeft. Zo staan in de backup ook video's, data uit apps en sms'jes opgeslagen.

Find My iPhone

Zondag, één dag voor de publicatie van de naaktfoto's, werd nog een lek in Find My iPhone-gedicht. Door het lek was het mogelijk een oneindige hoeveelheid foute wachtwoorden in te voeren tot de goede was gevonden. Apple spreekt tegen dat de wachtwoorden van de accounts van de sterren op die manier zijn achterhaald.

Hackers en Jonathan Zdziarski, een forensisch consultant en beveiligingsonderzoeker, stellen tegenover Wired dat er wel een mogelijkheid is dat deze kwetsbaarheid is misbruikt in combinatie met EPPB. Zowel Elcomsoft, het bedrijf EPPB, en Apple wilden niet op het verhaal van Wired reageren.

Op het hackersforum werden dinsdag overigens nog verwijzingen geplaatst naar misbruik van het Find My iPhone-lek dat zondag gedicht zou zijn. Of het lek nog niet bij alle gebruikers gedicht is, is niet bekend.

Hoe konden de naaktfoto's van tientallen sterren via iCloud lekken?