Do iCloud účtov herečiek sa dalo dostať skúšaním hesiel, Apple nemala ochranu

Značky: cloudbezpečnosťzaujímavostiApple

DSL.sk, 2.9.2014

Do iCloud účtov herečiek, z ktorých mali byť ukradnuté v noci na pondelok zverejnené nahé fotografie, sa mohlo dať dostať útokom hrubou silou so skúšaním hesiel pre nedostatok v jednom z rozhraní služby.

Naznačuje to sprístupnenie nástroja ibrute zneužívajúci tento nedostatok v dňoch pred zverejnením fotografií. Na nástroj upozornil The Next Web.

Jednou zo štandardných bezpečnostných ochrán webových služieb proti skúšaniu hesiel je obmedzenie alebo zablokovanie prístupu k účtu po určitom počte nesprávnych pokusov. Takáto ochrana ale chýbala v JSON rozhraní iCloud využívanom mobilnou aplikáciou a službou Find my iPhone a heslá bolo možné skúšať podľa autorov nástroja bez obmedzenia a vyvolania akéhokoľvek podozrenia.

To pri známej emailovej adrese umožnilo efektívne nájsť jednoduchšie heslá. Apple podľa stanoviska pre americké médiá preveruje aktuálny incident s únikom fotografií a nedostatok v pondelok odstránila.

Ako sme informovali v pondelok, v noci na pondelok bolo zverejnených na rozličných internetových fórach, stránkach na zdieľanie fotiek a ďalších weboch zrejme až viacero stoviek nových doteraz nezverejnených fotografií a videií nahých alebo polonahých populárnych hollywoodských herečiek, okrem iného Jennifer Lawrence, Kate Upton, Kirsten Dunst a viacerých ďalších.

Zdroj úniku a spôsob získania zatiaľ neboli definitívne potvrdené, dostupné informácie ale naznačujú ich ukradnutie z iCloud účtov herečiek.

iCloud ako zdroj fotografií totiž označovala osoba respektíve osoby zverejňujúce tieto fotky a herečky sa na zverejnených tzv. selfies fotografiách prakticky vždy fotia iPhonom. Fotografie z iPhonu sa pritom môžu automaticky zálohovať práve do iCloud. iCloud ako zdroj fotografií označila aj jedna z obetí, Kirsten Dunst.

Časové okolnosti zverejnenia ibrute a rýchlej opravy ním zneužívaného nedostatku naznačujú, že práve tento nedostatok mohol byť použitý na získanie prístupu k účtom. Útočník k tomu nemusel samozrejme využiť ani jednoduchý nástroj ibrute, stačila mu informácia o zneužívanom nedostatku.

V súčasnosti by potenciálne mohol byť známy aj útočník, keď užívatelia 4chan podľa BuzzFeed identifikovali osobu ponúkajúcu fotky na predaj podľa ním zverejneného screenshotu ako 27-ročného Američana Bryana Hamada. Hamade ale tvrdí, že si chcel len privyrobiť predajom už zverejnených fotografií a tieto sám neukradol.

Incident v prípade potvrdenia zdroja fotografií v každom prípade opäť poukazuje na potrebu lepšieho zabezpečenia dát v cloudových službách respektíve ich nevhodnosť na ukladanie najcitlivejších dát.




Najnovšie články:



Diskusia:

Data v cloudu, data v čoudu. Od: Bubuntu | Pridané: 2.9.2014 11:23 Ako hovorí stredoveké české príslovie "Data v cloudu, data v čoudu". Človek si môže vybrať 50znakové heslo, akonáhle svoje dáta zverí niekomu inému, tak už nad nimi stráca kontrolu. Dôležité je neprodukovať citlivé dáta (hanbaté fotky) a keď už ich produkovať, tak by nikdy nemali opustiť zašifrovaný telefón alebo počítač. Odpovedať Známka: 9.6 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: nmnmn | Pridané: 2.9.2014 13:06 Co som si tak vsimol, tak ani tie heerecky nemali ochranu, taku su si 50:50. Ale paci sa mi, ake je okolo toho halo. Mozno si uz ludia uvedomia, ze ten super cloud, ktory nam vsetci tlacia do hlav, nie je az taky super. Dokonca ani ked je od hyper uzasneho applu. Ja dobre ze sa to stalo celebritkam, tie to patricne "spropaguju" a roznesie sa to do sveta. (a my popasieme oci) Keby sa to stalo obycajnemu smrtelnikovi, ani pes by po nom nestekol. Cloud je zlo a ked ide ruka v ruke so slepou doverou...tak mame pekne zabery. Celebritka zababrana od vanilkoveho pudingu, ake negustiozne popularne. ;-) Odpovedať Známka: 10.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od reg.: WinstonSmith | Pridané: 2.9.2014 14:28 Ono, cloud je v princípe dobrý nápad... Ale jedine na vlastnom serveri s vlastnou správou a kontrolou. Takéto incidenty budú imho pribúdať čoraz častejšie a snáď sa ľudia uvedomia, že nemôžu slepo veriť tomu, čo im "sľúbi" Apple, Google, či MS... Odpovedať Známka: 10.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: nmnmnm | Pridané: 2.9.2014 14:39 Napad to samozrejme dobry je, to je v poriadku. problemom je realizacia. Mat to doma, je volba pre niekoho, kto sa vyzna. Predstav si nejaku celebritku...alebo 80% nasich sucasnikov. Ani by nezatali. Ale to vsetko by bolo este ako tak OK, KEBY... Keby si na cloud nahravali veci spakovane a chranene heslom. Alebo aspon vo foldri zabezpeecenom heslom. keby mali tie fotky hoci aj v mobile, ale v zaheslovanem foldri. Ale nie, vsetko pekne tak, aby to nasiel aj ten, kto to nehlada. Tak potom nech sa nedivia. Takyto pruser bolo treba, aspon to trochu zdihne povedomie spolocnosti a na chvilu sa budu spravat zodpovedne. Ale zo skusenosti vieme, ze coskoro zabudnu, budu lenivi zaheslovat to a opat sa to stane. Ako vzdy. Odpovedať Známka: 7.8 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: Administratosfer | Pridané: 2.9.2014 20:10 Intelegencia uzivatelov je priamo umerna inteligencii admina! Odpovedať Známka: -6.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: dlb | Pridané: 6.9.2014 23:45 Na konci chýba veta... uniknuté fotografie si môžete stiahnúť TU, TU, TU a TU Odpovedať Hodnotiť:

Re: Data v cloudu, data v čoudu. Od reg.: Jaa 1 | Pridané: 2.9.2014 20:10 Presne ako píšeš.To aj keď sa vykántovala Lady Di tak sa všetky "celebrity" dušovali že nebudú podporovať paparacov tým,že si už nikdy nekúpia žiadny bulvár.A vyzývali k tomu aj nás praobyčajných smrtelníkov.Platilo to ale len do vydania najnovšieho čísla. Odpovedať Známka: 10.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: 6aaaaaa | Pridané: 2.9.2014 20:32 POZOR POZOR ! novy cas, pluska a topky prijimaju redaktorov a rozsiruju pocet stran na dvojnasobok. zas je o com pisat... Odpovedať Známka: 6.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od reg.: durpalo | Pridané: 2.9.2014 21:00 "Ani ja jsem nevidel Vasu picu a verim, ze ju mate" ...:-) Odpovedať Známka: 5.0 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: ztujztkisoki | Pridané: 2.9.2014 22:02 Za slabe heslo si moze ten, kto ho vymyslel. Cloud provider moze heslo akurat javascriptom analyzovat a nepovolit slabe, co je uzitocne pre vacsinu userov. Tiez treba mat data v cloude sifrovane, tj sifrovat na strane klienta, keby prislo ku chybe alebo zneuzitiu u providera. +- mega.co.nz, ale urcite aj ine, menej popularne. Odpovedať Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: b2un0 | Pridané: 2.9.2014 22:24 Práve, že Apple úplne hlúpe heslo nepovolí (http://support.apple.com/kb/ht4232). Iná vec je, ak to bolo slovníkové heslo a pri brute force použili slovník. Odpovedať Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: gogo4925 | Pridané: 2.9.2014 15:17 Predpokladam, ze peniaze mas doma pod poduskou :) A ked v banke, tak jedine v bezpecnostnej schranke od ktorej iba ty mas kluc (teda - zasifrovane) :) Odpovedať Známka: -4.3 Hodnotiť:

Re: Data v cloudu, data v čoudu. Od: nmnjh | Pridané: 2.9.2014 17:07 Peniaze v banke? To maju len blazni a neznali. Peniaze maju pracovat a rozmnozovat sa. No a to sa v banke akosi nedeje. Lepsie povedane, banka zaraba, ale ty stracas. Ved v banke nemas uroky ani take, aby ti pokryli medzirocnu inflaciu - dan z urokov. Jediny kto na tom zaraba, je banka a jej majitelia. Ty na tom stracas. Takze nie, peniaze v banke nemam. Moje peniaze makaju niekde inde a na mna, nie na darmozracov. Len tak medzi recou, keby bolo zabezpecenie cloudu na urovni zabezpecenia bank, bolo by to super fantasticke. Ale nie je! Daj si odpoved, ze preco. Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: fvvdffd | Pridané: 2.9.2014 11:23 Ešteže tie fotky herečky neposielali do fronty na tlačenie cez wifi. Po hotový papier by mohol niekto skôr dojsť ako herečky. Odpovedať Známka: 8.5 Hodnotiť:

Re: ..... Od: Alino: | Pridané: 2.9.2014 12:29 a to sa tyka aj Janky Hospodarovej Odpovedať Známka: 7.3 Hodnotiť:

Re: ..... Od: nbvcx | Pridané: 2.9.2014 13:14 Pri tlaceni fotky nahej Dajky neHospodarnej, by sa chudatko tlaciaren dogrcala a namiesto fotky by ti vyplula len farembu machulu. Odpovedať Známka: -7.1 Hodnotiť:

Re: ..... Od: quix_ | Pridané: 2.9.2014 13:26 -10 :D si posral Odpovedať Známka: 8.8 Hodnotiť:

Re: ..... Od: klávesnice | Pridané: 2.9.2014 14:11 Opatrne môj, opatrne tuná s týmto tu... Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od reg.: WinstonSmith | Pridané: 2.9.2014 14:31 Čo sú to za reči? Janka Hospodárová je chránenkyňou komunity DSL.sk a iné, ako blahoslovné vyjadrenia, nie sú prípustné. Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: nbvcx | Pridané: 2.9.2014 17:14 Dajka neHospodarna je mi ukradnuta. Bez ohladu na to, ci si komunita, pozostavajuca z jedneho nadrzanca, pri jej svatom obrazku honi, alebo niekomu huli. Ako vidis, uz mozne srat aj na vsetkym Dajku neHospodarnu. ;-) Odpovedať Známka: -8.6 Hodnotiť:

Re: ..... Od: wEFWREFQTščTš | Pridané: 3.9.2014 12:44 Chaloši viete mi povedať ako dlho tu už koluje vtip o janke, pc, wifi a tlačiarni? Asi tak od 2006 že? :-D Odpovedať Hodnotiť:

Re: ..... Od: dlb | Pridané: 6.9.2014 23:45 kedy sa prestalo hovoriť Chaloši? Asi tak 1996? Odpovedať Hodnotiť:

egfh fg Od reg.: ccccc | Pridané: 2.9.2014 11:25 apple ..parodia na zabezpecenie Odpovedať Známka: 5.2 Hodnotiť:

Re: egfh fg Od: lt@ | Pridané: 2.9.2014 12:16 No neviem .. tu aspon bolo nutne heslo uhadnut. V androide netreba ani to :) Odpovedať Známka: -3.8 Hodnotiť:

Re: egfh fg Od: Niktosh | Pridané: 2.9.2014 12:25 Bavime sa o Oblacikoch alebo o Prostrediach? Odpovedať Známka: 9.0 Hodnotiť:

Re: egfh fg Od: quix_ | Pridané: 2.9.2014 13:26 zasadne len o tom, co vyhovuje jemu ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: egfh fg Od: I dare you to not laugh. | Pridané: 2.9.2014 23:44 Apple iCloud hacked! Hundreds of nude photographs of celebrities leaked from Apple iCloud. Apple reacts with hot-fix to prevent further penetration. Odpovedať Hodnotiť:

Zdroj Od: Palino_ | Pridané: 2.9.2014 12:28 Cele to nakoniec vyzera byt ovela zaujimavejsie ako jeden osamoteny hack iCloudu http://i.imgur.com/vnd0H9J.jpg Odpovedať Známka: 5.4 Hodnotiť:

No a co Od: xfgndfb | Pridané: 2.9.2014 12:37 No a co? Vsak je to len priroda. Taky hurhaj pre nic za nic :-) Odpovedať Známka: 10.0 Hodnotiť:

sila hesla Od: Rock_rock | Pridané: 2.9.2014 13:06 Toto ale potvrdzuje aj dolezitost silneho hesla, resp takeho ktore sa neda lahko uhadnut. Niekde som videl dokument niektorych ich hesiel a vacsinou islo o hesla typu krstne meno + cislo, datum narodenia, meno psa + cislo, P@ssw0rd1 a podobne. Bez ochrany proti poctu pokusov stacilo "hackerovi" len par hodin skusat hesla a pri tych lahkych sa na 20 pokus trafil. Odpovedať Známka: 10.0 Hodnotiť:

Re: sila hesla Od: Tup | Pridané: 2.9.2014 13:54 existujú aj tabuľky napríklad top 1000 najpoužívanejších hesiel a takým spôsobom ani nemusíš veľa skúšať, program to urobí za teba :-) Odpovedať Známka: 10.0 Hodnotiť:

Sifrovat Od: dhsdh | Pridané: 2.9.2014 16:30 Šifrovať, šifrovať a šifrovať! A taktiež si neuchovávať hesla na papierikoch a v súboroch typu heslo.doc Odpovedať Hodnotiť:

Re: Sifrovat Od: Hmhmhmh | Pridané: 2.9.2014 22:44 ja preferujem txt lebo doc je propietarny format ;-) Odpovedať Známka: 10.0 Hodnotiť:

iCloud Od: 0.0.0.0 | Pridané: 2.9.2014 20:49 AYYYYY LMAO Odpovedať Známka: 3.3 Hodnotiť:

Re: iCloud Od: chuj | Pridané: 2.9.2014 21:48 na hoňenou Odpovedať Hodnotiť:

kvety Od: lololol | Pridané: 2.9.2014 23:47 pocujte,zevraj ktosi hackol iCloud a ukradol nahe fotky hereciek, co je na tom pravdy? Odpovedať Známka: 2.0 Hodnotiť:

xxxxx Od: niktos | Pridané: 3.9.2014 15:16 Fotky sú nikde a vy tu rieiste icloud, ze fbi stiahla :) no to je taká blbost, tomuto sa vravy reklama, lebo nik nerieši tie fotky každý rieši a hada sa o icloude. Odpovedať Hodnotiť:

Re: xxxxx Od reg.: roob_ | Pridané: 3.9.2014 20:27 lebo ked poslem dopis postou a dopis nepride, kto je na vine ja alebo posta? TOto cele je na triko Applu... Odpovedať Hodnotiť:

Uniknute fotky online ! Od: Tomas joe | Pridané: 1.10.2014 22:06 Vacsina uniknutych fotiek je na webe www.celebritky.eu Odpovedať Hodnotiť:

Pridať komentár