Wie „leaked“ man Fotos?

2 Antworten

Entweder laden Prominente das ausversehen hoch z.B. wenn sie nichts mehr mitkriegen durch Drogen.

Oder jemand hackt sich in deren Cloud Speicherstände bspw. Snapchat Memories rein und veröffentlicht dann die Bilder.

Meine Frage ist, wie man an diese Fotos ran kommt

Da gibt es verschiedene Wege:

  • Phising / social Engeneering
  • Trojaner die Login-Cookies oder gespeicherte PW stehlen (gilt für Handy + PC)
  • Der Abgleich von Email + PW aus anderen Quellen zB gehackte Foren, Dienste, Webseiten, usw.
  • Bruteforce - also das ausprobieren verschiedenster PW hintereinander bis eines passt. (Lässt sich heutzutage mit einem Botnet gut machen wenn die Seite zB nur die IP zur Sperrung prüft kann nach 4 versuchen der nächste PC übernehmen und man läuft nie in das Limit von 5 Versuchen / IP)
  • XSS / HTMLi um Login-Cookies zu stehen oder einen Fake-Login Bildschirm in die Seite zu injizieren. Dazu müsste die Seite dafür verwundbar sein.
  • SQLi mit dessen Hilfe kann man die gesamte Datenbank der Seite abgreifen. Auch hierzu muss die Seite verwundbar sein.
  • CSRF um sich zB eine Freigabe für die Cloud-Daten zu geben. Diese Technik kann man zB auf einer beliebigen Seite einbauen und jeder der die Seite besucht gibt dem Angreifer seinen Google-, iCloud- oder Sonstwas-Speicher frei! Auch dafür muss der Clound-Anbieter verwundbar sein für diese Art von Angriff.
  • usw.

Außerdem muss das Leak nicht unbedingt von einem Hacker kommen. Wenn man als Prominenter nicht mehr in dem Medien vertreten ist dann kann so ein "Leak" die Person auch wieder in's Gespräch bringen. Zumindest in einigen Fällen könnte also PR dahinter stecken...

Dazu kommen dann noch eventuell verärgerte Ex-Partner die sich an derjenigen Person rächen wollen. Mit derartigen Fotos lässt sich sicherlich auch noch Geld machen und gleichzeitig verletzt man die Person - also gleich 2 Fliegen mit einer Klappe!

Aus technischer Sicht gibt es auch immer 3 Angriffspunkte:

  • Die Seite oder den Dienst
  • den Versender und
  • den Empfänger.

Ich denke auch, dass dies oft Zufallsfunde sind. Keiner wird gezielt versuchen einen Promi anzugreifen und zu hoffen das eine der Angriffsmethoden greift und man dann auch noch pikante Fotos findet. Das scheitert allein schon an der Email oder Telefonnummer um die Person auf eine Seite zu locken oder ihr irgend einen Download anzubieten. Man kann auch kaum erwarten das Promi XY über die eigene Seite mit entsprechendem Angriffscode stolpert.

Es sind allerdings derartig viele Phishing-Seiten und verseuchte Downloads jeglicher Art im Umlauf das es nur normal ist das irgendwann ein Promi darauf reinfällt.

Dann gibt es noch große Angriffe bei denen zig tausende Konten von einem Dienst geknackt werden. Diese basieren auf Fehler in der Konfiguration der Server oder Programmierfehlern der App oder Webseite. Aber auch das macht keiner weil er hofft seine Lieblingssängerin oben ohne zu sehen allein schon weil man nicht wissen kann ob diese Fotos existieren und selbst wenn ob die in dieser Cloud liegen oder derartige Fotos mit dieser App verschickt wurden.

Die letzt Möglichkeit wären natürlich auch noch Mitarbeiter der Firma - für die ist es unter Umständen ein leichtes Daten einzusehen die verschickt werden. Diverse KI-Algorithmen können Nacktheit erkennen - so funktionieren auch die Filter bei Facebook und vielen anderen. So könnte ein Mitarbeiter der derartige Daten entdeckt schnelles Geld machen oder aus sonstigen Gründen die Fotos veröffentlichen.

Woher ich das weiß:Beruf – Pentesting (seit 2015)

Was möchtest Du wissen?