12 maart 2017 kreeg Apple Security een mail van een hacker met de claim toegang te hebben tot 319 miljoen iCloud-accounts. De eis was 75.000 dollar in cryptomunten of 1.000 iTunes Gift Cards van 100 dollar. Een week later was op YouTube te zien dat hij toegang had tot twee accounts.

Kennelijk dacht de hacker dat dit indruk maakte, twee dagen daarna verhoogde hij zijn eis naar 100.000 dollar en dreigde hij alle iCloud-accounts waartoe hij toegang had terug te zette naar de originele instellingen. Maar jammer genoeg voor Kerem Albayrak (Londen, 22 jaar) boog Apple niet voor zijn eisen, maar nam contact op met de opsporingsinstanties in zowel de VS als het VK. En kennelijk had hij zijn sporen niet erg goed gewist; 16 dagen nadat hij de eerste dreigementen aan Apple verstuurde werd hij in Londen gearresteerd.



We laten alle grootspraak van Kerem Albayrak maar even voor wat het was, hij was in ieder geval geen woordvoerder voor de groep de “Turkish Crime Family”, zoals hij zelf claimde. Veel interessanter voor ons is om te zien of er iets van zijn claims klopte.

De National Crime Agency in het VK bevestigde na de inval wat Apple zelf al na intern onderzoek had gezien, er was absoluut geen sprake van inbraak in iCloud-accounts op grote schaal. De accounts waarvan op YouTube te zien was geweest dat hij er toegang toe had waren al eerder via ‘social engineering’ gekraakt, en waren nauwelijks nog actief. Met andere woorden, er klopte niets van zijn eerdere claims.

Social engineering

Keer op keer lijkt blijkt bij zogenaamde hacks op grote schaal van iCloud-accounts dat het daar nog nooit is gegaan om de beveiliging van Apple zelf. Wat keer op keer wel blijkt te werken is het zogenaamde ‘social engineering’. Daarbij worden bijvoorbeeld je profielen op Sociale Media als Facebook, Instagram, etc. afgestroopt naar persoonlijke gegevens van een persoon. Als daar eenmaal genoeg van bekend zijn kan er zelfs naar instanties gebeld worden, vragen als geboortedatums en dergelijke kunnen tegen die tijd tot met een gerust hart beantwoord worden, want die zijn dan al bekend.

Het verstandigst is om zo min mogelijk van dit soort informatie te delen. Want ook als je lange zinnen als wachtwoorden gebruikt en je wachtwoorden niet opnieuw gebruikt voor andere sites, wat allemaal zeker aan te raden is, als je jouw privé informatie op het web zet is de kans een stuk groter dat iemand toegang tot jouw gegevens kan krijgen.

Kerem Albayrak

Wat Kerem Albayrak aan de mensen van de National Crime Agency vertelde maakt in ieder geval duidelijk dat het niet altijd de grootste intellectuelen zijn die zich hiermee bezig houden:

once you get sucked into it [cyber crime], it just escalates and it makes it interesting when it’s illegal.

when you have power on the internet it’s like fame and everyone respects you, and everyone is chasing that right now.

Op 20 december 2019 werd Kerem Albayrak schuldig bevonden. Hij kreeg twee jaar voorwaardelijk, 300 uur dienstverlening en zal nog zes maanden onder elektronische surveillance in de gaten gehouden worden.


met dank aan forumlid ‘iEscape’, die dit nieuws als eerste meldde



 #iCloud