Innlent | Morgunblaðið | 3.9.2014 | 14:00 | Uppfært 4.9.2014 10:33

Myndirnar taldar stolnar úr skýjunum

Leikkonan Jennifer Lawrence og söngkonan Rihanna hafa báðar orðið fyrir því að nektarmyndum af þeim hefur verið lekið á netið. AFP

Bandaríska alríkislögreglan FBI rannsakar nú hvernig fjölda viðkvæmra mynda af tugum þekktra einstaklinga úr skemmtanaiðnaðinum var lekið á netið. Tölvuþrjótur birti lista með nöfnum einstaklinganna á sunnudag ásamt fjölda nektarmynda, þar á meðal af Óskarsverðlaunaleikkonunni Jennifer Lawrence. Netöryggissérfræðingar sem hafa farið yfir gögnin vara við því að myndir fleiri þekktra einstaklinga gætu verið í hættu.

Enn liggur ekki fyrir hvernig þrjóturinn komst yfir gögnin en athyglin hefur helst beinst að iCloud-tölvuskýi tæknirisans Apple. Fyrirtækið rannsakar nú hvort myndunum hafi verið stolið úr þjónustu þess og þá hvernig. „Við tökum gagnaleynd notenda okkar mjög alvarlega og erum að rannsaka málið,“ sagði Natalie Kerris, talsmaður Apple.

Vangaveltur hafa verið um öryggisgalla hjá Apple en því neitar fyrirtækið og segir að rannsókn þess bendi til að brotist hafi verið inn í notendareikninga valdra einstaklinga.

Falskt öryggi

Undanfarin ár hefur færst í aukana að einstaklingar og fyrirtæki geymi gögn í svonefndum tölvuskýjum en með því móti er aðgangur að þeim ekki bundinn við eitt tæki. Dæmi um slík tölvuský í almennri notkun eru téð iCloud-þjónusta Apple, Dropbox og Google Drive.

Að sögn Sigurðar Mássonar, deildarstjóra öryggislausna Advania, er öryggi gagnanna á meðan þau eru í geymslu gott hjá þessum stóru fyrirtækjum. Það sé hins vegar aðgangurinn að gögnunum sem sé vandamálið.

„Notandinn er alltaf með aðgang að gögnunum sínum og spurningin er þá hversu vel er gengið frá þeim aðgangi. Ef hann er ekki með tveggja þátta auðkenningu stendur hann alltaf mun veikar gagnvart því að einhver hleri lykilorðin hans eða brjótist inn,“ segir hann.

Falskt öryggi geti falist í hefðbundnu notandanafni og lykilorði sem auðkenni, þar sem margir velji sér slæm lykilorð sem auðvelt sé fyrir tölvuþrjóta að ráða í. Þá segir Sigurður að sífellt meira sé um óværu í tölvum og snjalltækjum sem njósni um innslátt á lyklaborð og nái þannig að komast á snoðir um auðkennni eigandans. „Vandinn er oft að menn eru að nota sama tækið í alls konar tilgangi. Þá geta þeir verið búnir að ná í einhverja óværu inn á tækið.“

Háð áhættumati notandans

Talið er að eitthvað af myndunum sem var lekið hafi verið tekið á snjalltæki. Þaðan hafi þær sjálfkrafa verið vistaðar í iCloud-skýinu. Sigurður segist telja að margir eigendur snjalltækja séu ekki meðvitaðir um að þeir hafi sett það sem sjálfgefna stillingu að gögnum sé hlaðið upp í tölvuský, þegar þeir setja tækið upp í fyrsta skipti.

Mikilvægt er fyrir þá sem ætla að nota þjónustu netskýja til að vista gögn að greina áhættuna sem felst í því. Þar eigi ekki að vista viðkvæm gögn, ráðleggur Sigurður. Stærri þjónustur bjóði upp á tveggja þátta auðkenningu. Þá sé notandanum sendur PIN-kóði í sms-skilaboðum þegar hann reynir að skrá sig inn á nýju tæki. „Notandinn þarf sjálfur að velja þetta í þeim þjónustum sem bjóða upp á þetta. Þar liggur oft flöskuhálsinn því notandinn er ekki nógu fróður eða finnst þetta óþægilegt. Þá er það orðið hans áhættumat að sleppa því að nota þetta,“ segir Sigurður.

Spyrja aðallega í gríni

„Við höfum voðalega lítið fundið fyrir þessu enn sem komið er hérna heima. Þetta er meira í gríni sem fólk er úti í búð að spá í hvort eitthvað sé að leka,“ segir Ólafur Sólimann Helgason, deildarstjóri fyrirtækjasviðs Eplis, spurður að því hvort notendur Apple-vara hér á landi hafi sett sig í samband við fyrirtækið vegna lekans. Hann segist bíða niðurstaðna Apple um hvort eitthvað hafi farið úrskeiðis og þá hvað.

Í erlendum fjölmiðlum hafa líkur verið leiddar að því að tölvuþrjótar hafi nýtt sér glufu í þjónustu fyrirtækisins til að staðsetja snjalltæki. Það hafi gert þeim kleift að gera ítrekaðar tilraunir með fjölda mismunandi lykilorða til að fá aðgang að gögnum án þess að lokað væri fyrir aðganginn.