Một số người nổi tiếng đã bị nhắm mục tiêu trong tuần này trong một cuộc tấn công phơi bày ảnh khỏa thân - một số được cho là thật, một số khác là giả - được lưu trữ trong tài khoản iCloud của Apple. Đây là những gì chúng tôi biết và ý nghĩa của nó về bảo mật đám mây của riêng bạn.

Tài khoản của những người nổi tiếng bị hack như thế nào?

Những người nổi tiếng có ảnh iCloud bị rò rỉ đã trở thành nạn nhân của các cuộc tấn công có chủ đích, theo các báo cáo và thông tin mới nhất được Apple công bố. Điều này có nghĩa là những người đã xâm nhập vào tài khoản có thể biết các địa chỉ email được liên kết với tài khoản người nổi tiếng hoặc họ có thể trả lời các câu hỏi bảo mật đã cấp cho họ quyền truy cập vào tài khoản.

Hiện vẫn chưa rõ làm thế nào tin tặc có thể biết câu trả lời cho các câu hỏi bảo mật tài khoản và lấy tên người dùng cho các tài khoản.

Còn lỗ hổng bảo mật đó thì sao?

Người ta cho rằng tin tặc có thể đã truy cập được vào tài khoản iCloud thông qua lỗ hổng bảo mật trong tính năng "Tìm iPhone của tôi" của dịch vụ lưu trữ trực tuyến cho phép họ thực hiện các cuộc tấn công vũ phu. Với một cuộc tấn công vũ phu, tin tặc sử dụng một tập lệnh để tự động thử nhiều kết hợp tên người dùng và mật khẩu khác nhau liên tiếp cho đến khi đoán được kết hợp chính xác.

Apple đã vá lỗ hổng này vào sáng thứ Ba và xác nhận rằng đây không phải là phương thức được tin tặc sử dụng để đăng nhập vào tài khoản của những người nổi tiếng.

Tôi vẫn không hiểu. Họ là những người nổi tiếng.

Trái với niềm tin phổ biến, hầu hết những người nổi tiếng sử dụng công nghệ giống như hầu hết những người không nổi tiếng khác. Apple, Google và các công ty công nghệ lớn khác không nhất thiết phải cung cấp cho người nổi tiếng quyền truy cập vào các tính năng bảo mật đặc biệt. Nếu có sẵn các tính năng bảo mật, chúng tôi hy vọng các công ty này sẽ phân phối chúng cho tất cả người dùng, không chỉ là đặc quyền.

Những người nổi tiếng có cùng các công cụ bảo mật mà chúng tôi làm, vì vậy về mặt kỹ thuật chúng tôi đều dễ bị tổn thương như nhau. Nhưng, vì khuôn mặt của họ duyên dáng trên bìa tạp chí và màn hình nhà hát, cuối cùng họ được nhắm mục tiêu thường xuyên hơn.

Người nổi tiếng cũng không luôn tận dụng các giao thức bảo mật có sẵn. Ví dụ: dựa trên thông tin hiện có, những người nổi tiếng này có thể đã được bảo vệ chống lại các cuộc tấn công nếu họ đang sử dụng xác minh hai bước, điều này bổ sung thêm một bước cho quy trình đăng nhập cơ bản.

Tại sao họ sẽ lưu trữ ảnh trên đám mây ở nơi đầu tiên?

Các dịch vụ sao lưu đám mây như iCloud của Apple và Tải lên tức thì của Google thường được bật theo mặc định, vì vậy có thể các bức ảnh đã được tải lên iCloud mà không có người nổi tiếng biết.

Ví dụ: dịch vụ Photo Stream của iCloud sẽ tự động tải lên những bức ảnh bạn chụp trên thiết bị Apple của mình và lưu trữ chúng trong iCloud trong 30 ngày. Khi bật tính năng tải lên Photo Stream, những bức ảnh đó có thể được truy cập từ bất kỳ thiết bị nào, bất kể bạn ở đâu trên thế giới, sử dụng thông tin đăng nhập iCloud của bạn.

Tôi có nên lo lắng không?

Mặc dù bạn không phải Brad Pitt hay Cameron Diaz, đây là thời điểm tốt để xem xét bảo mật iCloud của riêng bạn. Ảnh không phải là mục duy nhất được lưu trữ trong iCloud - danh bạ của bạn, vị trí của thiết bị iOS và ghi chú cũng có thể được lưu trữ ở đó. Dưới đây là một số bước bạn có thể thực hiện:

1. Kích hoạt xác minh hai bước. Hiện nay.

Bảo vệ lớn nhất chống lại các cuộc tấn công tàn bạo và nhắm mục tiêu vẫn là xác minh hai bước. Nó sẽ không bảo vệ bạn trước các vấn đề như lỗ hổng bảo mật, nhưng đây vẫn là lá chắn tốt nhất của bạn chống lại việc hack mục tiêu, nơi ai đó có thể lấy tên người dùng hoặc câu trả lời cho câu hỏi bảo mật cá nhân của bạn để truy cập vào tài khoản.

Khi được bật, xác thực hai yếu tố sẽ thêm cấp xác thực thứ hai vào thông tin đăng nhập tài khoản. Một ví dụ phổ biến là mã được gửi đến thiết bị di động phải được sử dụng cùng với tên người dùng và mật khẩu để đăng nhập vào tài khoản. Thực hiện theo các bước sau để thiết lập xác minh hai bước cho ID Apple của bạn.

Thật đáng tiếc, TechCrunch chỉ ra rằng đăng nhập hai bước của Apple thực sự chỉ được thiết kế để bảo vệ người dùng chống lại việc mua thẻ tín dụng trái phép, nhưng điều quan trọng là phải bật, đặc biệt là nếu công ty sửa lỗi giám sát này.

2. Vô hiệu hóa bất kỳ dịch vụ nào bạn không thực sự sử dụng

Nếu dữ liệu không tồn tại ở nơi đầu tiên, không có lý do gì để hack nó.

Bạn thậm chí có cần Photo Stream hoặc các dịch vụ iCloud khác như đồng bộ hóa liên hệ không? Nếu không, vô hiệu hóa các dịch vụ này. Để làm như vậy, hãy đi tới Cài đặt> iCloud trên thiết bị iOS của bạn và tắt các dịch vụ không cần thiết. Sau đó, đăng nhập vào iCloud.com và xóa mọi Luồng ảnh đã tải lên trước đó.

3. Cân nhắc sử dụng câu trả lời giả cho câu hỏi bảo mật

Có phải mẹ bạn sinh ra ở Chicago? Điều đó thật tuyệt, nhưng có lẽ bạn nên sử dụng một câu trả lời khác. Hầu hết các báo cáo gần đây cho thấy tin tặc đã sử dụng kỹ thuật xã hội để tìm hiểu câu trả lời cho các câu hỏi bảo mật của người nổi tiếng, cuối cùng đã cho phép họ truy cập vào tài khoản. Để ngăn kẻ thù hoặc tin tặc xâm nhập vào tài khoản của bạn, hãy cân nhắc sử dụng các câu trả lời giả, ngẫu nhiên mà chúng không bao giờ có thể khám phá.

4. Thực hiện tương tự cho các dịch vụ web khác

Trong khi bạn đang ở đó, hãy cân nhắc lặp lại các bước tương tự cho các dịch vụ đám mây khác, bao gồm Dropbox, tự động sao lưu trên Android hoặc thậm chí là Flickr. Bạn càng thu nhỏ dữ liệu tự động được tải lên đám mây, bạn sẽ càng kiểm soát được thông tin cá nhân của mình.

Lưu ý của biên tập viên: Câu chuyện đã được cập nhật vào thứ Tư lúc 3:39 PST để phản ánh hầu hết các báo cáo gần đây về xác minh hai bước và cách tin tặc truy cập vào tài khoản.