El defecte d’iCloud va provocar un pirateig de fotos de celebritats?

Imatge 1 de2

Un defecte del servei Find My iPhone d'Apple podria haver estat darrere d'un atac que va provocar que es comprometessin els comptes d'iCloud de centenars de famosos.

com intercanviar dues columnes en Excel

Un script Python de prova de concepte desenvolupat per HackApp per força bruta iCloud ja feia dies que circulava en línia abans de fotos de nus de 17 dones famoses, inclosaJocs de la famactriu Jennifer Lawrence iScott Pilgriml'actriu principal Mary E Winstead va aparèixer en línia, aparentment robada dels seus comptes d'iCloud.

El pirata informàtic va afirmar tenir fotos de més de 100 dones famoses en total.

Aparentment, el codi permet que els atacants endevinin les contrasenyes repetidament mitjançant Find My iPhone sense activar un bloqueig ni alertar l’objectiu.
Un cop descoberta la contrasenya, l'atacant podia utilitzar-la per accedir a altres àrees d'iCloud.

Des de llavors, Apple ha corregit el forat, tot i que n’hi ha reclamacions a Reddit que el pegat només està actiu en determinades regions.

Tot i això, l’investigador de seguretat Graham Cluley ha afirmat que és difícil de creure que s’hagi pogut utilitzar amb èxit contra un ampli nombre de comptes sense detectar-ho en poc temps.

Una altra opció proposada per Cluley i altres investigadors és que les víctimes de l'atac tinguessin una contrasenya fàcil d'endevinar o respostes de restabliment de contrasenya.

Molts llocs us ofereixen l'opció 'Heu oblidat la vostra contrasenya' o us demanen que passeu per cèrcols responent a 'preguntes secretes' per demostrar la vostra identitat, va dir Cluley.

No obstant això, en el cas d'una celebritat, pot ser particularment fàcil determinar el nom de la seva primera mascota o el cognom de soltera de la seva mare amb una simple cerca a Google, va afegir.

Rik Ferguson, investigador de seguretat de Trend Micro, també va dir és improbable un “hack” a gran escala de l’iCloud d’Apple, que assenyala que fins i tot el pòster original no havia afirmat que fos així.

Ell, com Cluley, va suggerir que l'atacant podria haver utilitzat l'enllaç He oblidat la meva contrasenya si ja sabien i tenien accés a les adreces de correu electrònic que les víctimes utilitzaven per a iCloud. També va suggerir que les celebritats en qüestió podrien haver estat víctimes d'un atac de pesca.

Reacció de Twitter i amenaces legals

Tot i que les fotos es van filtrar inicialment a 4chan, les fotos de Jennifer Lawrence, en particular, van trigar a aparèixer a Twitter.

En unes dues hores, Twitter havia començat a suspendre tots els comptes que havien publicat alguna de les fotos robades, però segons una cronologia deEl mirall , la xarxa social jugava a un cop de mola, amb noves imatges que continuaven apareixent durant més d’una hora després de començar a actuar.

Mary E Winstead es va dirigir a Twitter per trucar tant a la persona que va publicar les imatges com a les que les miraven.

A aquells que mireu fotos que vaig fer amb el meu marit fa anys a la intimitat de casa nostra, esperem que us sentiu molt bé.

- Mary E. Winstead (@M_E_Winstead) 31 d’agost de 2014

Tot i això, finalment es va haver de retirar de la plataforma per fugir dels missatges abusius que rebia

Sortir a Internet. Siéntase lliure dels meus @s per veure el que és ser una dona que parla de qualsevol cosa a twitter

- Mary E. Winstead (@M_E_Winstead) 1 de setembre de 2014

com evitar que Facebook expliqui el vostre aniversari

El portaveu de Jennifer Lawrence ja ha dit que iniciaran accions legals contra qualsevol persona que distribueixi les fotos.

Es tracta d’una violació flagrant de la privadesa. Les autoritats han estat contactades i processaran qualsevol persona que publiqui les fotos robades de Jennifer Lawrence, van dir.

El 2011, es van prendre mesures similars quan es van piratejar els correus electrònics de 50 famosos, incloses Scarlett Johansson i Christina Aguilera, i es van robar i es van difondre fotos de nus i es van difondre públicament.

Després d’una investigació de l’FBI, l’autor, Christopher Chaney de Jacksonville, Florida, va ser condemnat a deu anys de presó.

Contramedides de seguretat

com activar el Windows 10 de Bluetooth

Tot i que és menys probable que les persones que no són famoses tinguin les seves fotos de nus distribuïdes de manera tan àmplia com les d’una persona famosa, pot passar i encara passa.

Els especialistes en seguretat han dit que aquest incident hauria de recordar la importància de disposar de mesures de seguretat efectives per a qualsevol servei en línia i animar els usuaris a tenir en compte el que es penja al núvol.

Com que els dispositius actuals tenen moltes ganes d’enviar dades als seus propis serveis al núvol, la gent hauria de tenir cura de que no es pengin automàticament mitjans sensibles al web ni a altres dispositius emparellats, va dir Chris Boyd, analista d’intel·ligència de programari maliciós de Malwarebytes.PC Pro.

Ferguson va suggerir que era possible que les persones que havien estat víctimes de l'atac s'haguessin oblidat o no s'adonessin que Apple sincronitza les fotos de l'iPhone o l'iPad Photo Stream d'un usuari automàticament amb el seu iCloud.

En aquest cas, sembla que algunes de les víctimes haurien cregut que amb la supressió de les fotos dels telèfons n'hi havia prou, va dir.

Tant Boyd com Ferguson recomanen esbrinar si i com es prenen les còpies de seguretat o còpies shadow de les dades emmagatzemades en un servei al núvol i com es poden gestionar.

Stefano Ortolani, investigador de seguretat de Kaspersky Lab, també va suggerir que els usuaris seleccionessin quines dades s’emmagatzemen al núvol i desactivin la sincronització automàtica.

També es podria argumentar que els telèfons intel·ligents, que estan connectats contínuament a Internet, no són el millor lloc per a imatges de nus, va dir Boyd, un sentiment que es va fer ressò de Cluley i Ferguson.

PC Proes va posar en contacte amb Apple per preguntar-li si l’empresa tenia coneixement d’un hack a gran escala del seu servei iCloud, però no havia rebut cap resposta en el moment de la publicació.