Security: Promi-Bilder angeblich aus der iCloud gestohlen

Über das Wochenende sind kompromittierende Fotos Dutzender US-Prominenter im Internet aufgetaucht. Sie wurden auf dem Imageboard des berüchtigten Forums 4Chan veröffentlicht. Es soll sich dabei um private Fotos handeln, die der Verantwortliche aus Apples iCloud erbeutet haben will. Während die meisten Prominenten die Echtheit der Fotos bestätigen, mehren sich die Zweifel daran, dass sie alle aus der iCloud stammen. Die betroffenen Prominenten bezeichneten die Veröffentlichung als "unheimlichen" Eingriff in ihre Privatsphäre.

Im 4Chan-Forum kursieren die Fotos der zahlreichen Prominenten, die einerseits wie Jennifer Lawrence deren Echtheit bestätigen, andererseits wie Victoria Justice Beweise liefern, dass es sich um Fotomontagen handelt. Der Verantwortliche will auch Videos gefunden haben, die er für einen sechsstelligen Betrag verkaufen will. Gegen Bitcoin-Spenden will er auch weitere Fotos veröffentlichen, angeblich habe er Bilder von über 100 Prominenten.

Zweifel an iCloud-Hack

Die Fotos sollen laut 4Chan-Eintrag aus der iCloud gestohlen worden sein. Dafür sei eine Sicherheitslücke genutzt worden. Sie soll Apples Find-My-iPhone-Dienst betroffen haben, über den sich per Bruteforce Passwörter zu dazugehörigen Apple-IDs ausgelesen werden konnten. Apple hat die Lücke offenbar geschlossen. Auf dem iPhone geschossene Fotos werden zwar automatisch über Photo Stream in Apples Cloud hochgeladen, Videos hingegen nicht. Außerdem twitterte die geschädigte Schauspielerin Mary Winstead, die Fotos von ihr seien bereits vor langer Zeit gelöscht worden. Wie der Verantwortliche an die Fotos gelangt ist, bleibt also weiterhin unklar. Zumindest die gefälschten Fotos deuten auf eine andere unbekannte Quelle im Internet hin.

Anfang 2012 veröffentlichte ein Datendieb in einer Aktion mit dem Namen Hollywood Leaks ebenfalls Nacktfotos von über 50 Prominenten. Diese hatte er direkt von Computern und Mobiltelefonen seiner Opfer heruntergeladen. Er wurde kurz darauf verhaftet, entschuldigte sich vor Gericht öffentlich und argumentierte, er habe für die Fotos zu keiner Zeit Geld verlangt. Allerdings half ihm das nicht weiter. Er wurde zu zehn Jahren Gefängnis verurteilt.

Nachtrag vom 1. September 2014, 12:20 Uhr

Inzwischen wurde ein Proof-of-Concept veröffentlicht, mit dem sich Passwörter zu Apple-IDs über den Find-My-iPhone-Dienst per Bruteforce-Angriff auslesen lassen können. Eine Liste der angeblich 500 populärsten Passwörter, die den Kriterien Apples entsprechen, liegt dem Python-Code auf Github bei. Apple hat wohl bereits reagiert und das Leck geschlossen. Ob es einen Zusammenhang mit den von Prominenten gestohlenen Fotos gibt, ist bislang unklar. Der Text wurde der aktuellen Meldung entsprechend angepasst.