iCloud of is het “Good-by” Cloud?

Een lek in Apple’s iCloud zou ervoor gezorgd hebben dat tien­tallen naaktfoto’s van bekende sterren op internet circu­leren.  Apple bevestigt dat een aantal iCloud-accounts van beroemd­heden inderdaad is binnen­ge­drongen. Volgens Apple gaat het om een speci­fieke aanval op gebrui­kers­namen, wacht­woorden en bevei­li­gings­vragen. De servers van iCloud zijn volgens Apple niet gehackt.

Apple gaat binnen­kort de bevei­li­ging van iCloud flink aanscherpen. Dit vertelde Apple-CEO Tim Cook in een interview, naar aanlei­ding van de recent uitge­lekte foto’s van beroemdheden.

Tim Cook stelt in het interview dat Apple’s servers niet zijn gehackt. De accounts werden binnen­ge­drongen door de geheime vragen van beroemd­heden te raden, of door met phishing de juiste wacht­woorden te bemach­tigen. Dit soort prak­tijken kan Apple echter ook tegengaan door de bevei­li­ging beter aan te scherpen, aldus Cook.

Hieronder een voorbeeld van een van de vele manieren om uw Apple-ID en wacht­woord door middel van Phishing te achterhalen.

Apple gaat dus op twee manieren iCloud beter bevei­ligen: met noti­fi­ca­ties en met verbe­terde tweestaps-verificatie.

Noti­fi­ca­ties en e‑mails

Probeert iemand in te loggen met je iCloud-account op een nieuw apparaat, dan ontvang je binnen­kort een push­no­ti­fi­catie en e‑mailbericht. Een verge­lijk­bare e‑mail wordt op het moment al verzonden als iemand op een nieuw apparaat bijvoor­beeld een app koopt, maar het gebruik van de berichten wordt fors uitge­breid. Een noti­fi­catie wordt bijvoor­beeld ook verzonden als een iCloud-backup wordt gedown­load. In de e‑mail staan instruc­ties om weer controle over je account te krijgen, zodat je de mogelijke hacker kunt tegen­houden. Deze func­ti­o­na­li­teit wordt binnen enkele weken beschik­baar gesteld.

Tweestaps-veri­fi­catie

Apple gaat de bestaande bevei­li­ging via tweestaps-veri­fi­catie ook verbe­teren. Op het moment kun je een account bevei­ligen door een mobiel apparaat aan te koppelen, zodat je een code in een sms of push­be­richt nodig hebt om in te loggen. Hierdoor heb je alleen met jouw iPhone toegang tot je account. Echter bleek alleen dat deze code niet vereist is om een backup te down­lo­aden of een Foto­st­ream te bekijken. Volgens Apple wordt tweestaps-veri­fi­catie binnen­kort gebruikt voor meer diensten, waarmee vermoe­de­lijk ook backups en foto’s worden gedekt. Daarnaast gaat Apple gebrui­kers actiever wijzen op deze bevei­li­gings­me­thode. De verbe­terde tweestaps-veri­fi­catie is aanwezig in iOS 8 wat later deze maand verschijnt.

Moraal van het verhaal: Denk goed na over uw gebrui­kers­naam en wacht­woord en maak het niet al te gemak­ke­lijk voor anderen om deze te achter­halen. Want door voor de hand liggende wacht­woorden en vragen te verzinnen maakt u het hackers wel heel gemak­ke­lijk. Ook de hierboven genoemde tweestaps-veri­fi­catie is een manier om u nog beter te beschermen tegen het verlies van uw data.

Maar om nu meteen te conclu­deren dat alles wat in de Cloud staat onveilig is gaat een brug te ver. Denk daarom eerst goed na over welke zaken u eventueel wil opslaan in de Cloud, en hou er rekening mee dat er (helaas) altijd een moge­lijk­heid bestaat dat uw gegevens door anderen bekeken kunnen worden, en dit geldt zeker voor Public Cloud oplos­singen. Vraag bij uw Cloud Service Provider hoe dat zij omgaan met uw gegevens en laat u over­tuigen door eens zelf een kijkje te nemen in het data­center van de service provider. Ook een ISO27001 Certi­fi­caat kan al een extra gerust­stel­ling zijn.