Presunto Hackeo de iCloud Fotos Desnudas Expuestas de Celebridades en línea

El caso

Las noticias de chismes de esta semana son el presunto hackeo del iCloud de Apple de muchas celebridades. Cientos de fotos de desnudos supuestamente pertenecientes a más de cien actores y cantantes se han divulgado en línea.

El domingo, las fotos de 101 celebridades, incluidas Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst y Selena Gomez, se publicaron en el foro para compartir imágenes en línea 4chan, y los rumores informan que las fotos se obtuvieron de las cuentas de las celebridades en el servicio Apple iCloud.

Los usuarios anónimos de 4chan afirmaron haberlos sacado del servicio, y a pesar de que Apple no ha comentado el evento, el análisis de los metadatos EXIF incrustados de la imagen confirma que la mayoría se tomaron utilizando dispositivos Apple. Sin embargo, la actriz Mary Elizabeth Winstead afirmó que sus fotos filtradas fueron tomadas «hace años.»

Un análisis detallado de los metadatos de la imagen filtrada está disponible en Pastebin en la siguiente dirección:

http://pastebin.com/rHSTg6i8

El usuario anónimo que publicó por primera vez las fotos de las celebridades afirmó tener otras fotos y videos explícitos de Lawrence y solicitó donaciones a través de PayPal y Bitcoin para publicarlas.

El incidente ha planteado dudas sobre el nivel de seguridad que ofrecen los servicios en línea, como el almacenamiento en la nube. El servicio iCloud permite a los usuarios de Apple almacenar automáticamente sus datos en línea, incluidos fotos, documentos y correos electrónicos. Los usuarios pueden acceder a sus documentos desde cualquier lugar una vez autenticados en el servicio. Es probable que los atacantes comprometieran inicialmente la cuenta de Chicago perteneciente a una o más celebridades, y luego, al «encadenarse» entre cuentas, obtuvieran acceso a la libreta de direcciones de la víctima para recopilar datos para futuros ataques.

El usuario de 4chan que publicó la mayoría de las fotos estaba solicitando donaciones de Bitcoin para publicar más fotos y videos filtrados.

El análisis de los registros de transacciones relacionados con la cuenta de Bitcoin (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa) utilizada como recaudadora de las donaciones revela que ha recibido ocho donaciones por un total de 0,26 BTC.

Figura: Cuenta de Bitcoin utilizada por el hacker que filtró las imágenes

Es poco probable que los hackers hayan comprometido todo el servicio iCloud de Apple y su infraestructura. El presunto atacante probablemente usó algún truco para apuntar a cuentas específicas.

Ya hemos comentado en el pasado que hay muchas formas de violar una cuenta de usuario. Un atacante podría adivinar las credenciales del usuario, robarlas con un malware o simplemente restablecer la cuenta de la víctima encontrando la dirección de correo electrónico asociada y luego respondiendo a las «preguntas de seguridad». Un atacante podría recopilar la información necesaria sobre las víctimas a través de varias formas de ataques de ingeniería social. Los datos recopilados podrían ayudarlo a ejecutar un procedimiento de emergencia (por ejemplo, restablecimiento de contraseñas, restablecimiento de copias de seguridad) simplemente respondiendo a una serie de preguntas.

El sitio web The Next Web, después de la publicación de las fotos, ha revelado la existencia de un código para el hackeo de iCloud que se publicó en el sitio web de código abierto GitHub.

La aplicación explota una vulnerabilidad, ya corregida por Apple, en el servicio’ Buscar mi iPhone ‘ para adivinar contraseñas con intentos ilimitados sin estar bloqueada.

La función Buscar mi iPhone permite a los usuarios localizar y proteger sus dispositivos Apple (iPhone, iPad, iPod touch o Mac) en caso de pérdida o robo. El atacante puede forzar brutalmente la cuenta de la víctima, una operación que podría mejorarse eligiendo las contraseñas de un diccionario de palabras y frases. La elección de estas bases de datos de contraseñas podría basarse en el conocimiento de las víctimas, de sus hábitos y sus preferencias.

Una de las celebridades víctimas de la fuga de datos, Jennifer Lawrence, ha confirmado la autenticidad de sus fotos. Su portavoz definió el incidente como una «violación flagrante de la privacidad» y amenazó con procesar a cualquiera que compartiera las imágenes en línea.

«Las autoridades han sido contactadas y procesarán a cualquiera que publique las fotos robadas de Jennifer Lawrence», dijo el portavoz.

Los expertos en seguridad están especulando que las fotos pueden haber sido robadas de las cuentas de Dropbox de las víctimas. Alguien ha planteado la hipótesis de que los insiders «con acceso a datos en algún lugar hicieron un alijo privado» y posteriormente fue pirateado por el individuo que filtró las fotos en línea.

Excluyo la hipótesis anterior porque las copias de seguridad de iCloud, incluidas las fotos, están cifradas, e incluso al acceder a la cuenta no es posible descifrar la información almacenada en la nube de Apple.

«Algunos también han señalado la presencia de un archivo de tutorial de Dropbox en una cuenta hackeada como una sugerencia de que el servicio de almacenamiento en la nube de terceros fue una fuente de algunas imágenes», afirma The Guardian en una publicación sobre el incidente.

Otra aplicación móvil popular que se mencionó en numerosos artículos publicados en la fuga de datos es Snapchat. Varias imágenes tenían texto superpuesto, lo que indica que al menos algunas de las imágenes se compartieron con Snapchat. Aunque Snapchat se vio afectado por importantes problemas de seguridad en los últimos meses, es poco probable que su violación sea la causa de la violación de datos.

En el momento de escribir este artículo, Apple ha corregido la vulnerabilidad de seguridad en el servicio Apple iCloud que podría haber sido explotada por atacantes para violar cuentas de celebridades y robar sus fotos. El parche de seguridad llega solo unas horas después de que los hackers publicaran cientos de fotos de celebridades desnudas en 4chan.

La falla: el inicio de sesión «Find My iPhone» de Apple es vulnerable a ataques de fuerza bruta

Los hackers que filtraron las fotos privadas de celebridades en línea pueden haber explotado una falla en la función «Find my iPhone» de Apple, que permite a un atacante forzar la cuenta del usuario.

Unas horas después de la fuga de datos, en el repositorio en línea de GitHub se publicó un script de Python que podría usarse para «forzar brutalmente» la contraseña de una cuenta de iCloud de Apple, explotando la vulnerabilidad en el servicio Buscar mi iPhone. El atacante podría usar el script para adivinar repetidamente las contraseñas en un intento de descubrir la correcta.

El script estaba disponible para cualquier persona, al menos durante un par de días, antes de que Apple arreglara la vulnerabilidad, bloqueando las cuentas después de cinco intentos fallidos.

No está claro cuánto tiempo estuvo presente esta vulnerabilidad en la función Buscar mi iPhone. La única certeza es que el defecto era explotable por atacantes que conocían la dirección de correo electrónico de las víctimas.

El propietario de la herramienta, Hackapp, informó que la corrección se aplicó a las 3:20 am PT. De todos modos, comentó que no hay evidencia de que Ibrute estuviera involucrado en este incidente.

«Todavía no he visto ninguna evidencia, pero admito que alguien podría usar esta herramienta», dijo.

Tweet de HackApp de figura

Figure – GitHub PythonScript Read me file

El script puede adivinar contraseñas repetidamente sin ningún bloqueo o alerta al objetivo. Una vez que se descubre la contraseña, podría usarse para acceder a la cuenta de la víctima.

Script Python con ejecución de figuras

Hackapp confirmó que este tipo de falla es muy común para las interfaces de servicios de autenticación:

«Este error es común para todos los servicios que tienen muchas interfaces de autenticación» y que con «conocimientos básicos de técnicas de detección e inversión» es «trivial» descubrirlas», dijo el experto.

Hackapp también publicó las diapositivas que incluían detalles sobre el esquema de ataque y un análisis de los problemas de seguridad relacionados con el llavero de iCloud.

Diapositivas de figuras publicadas por Hackapp

Un punto de vista interesante es el de Christopher Soghoian, director de tecnología de la American Civil Liberties Union, sobre la falla en el sistema Apple y su supuesta explotación:

«Si las contraseñas de cuentas de iCloud de las celebridades fueron forzadas brutalmente, el problema parece ser la falta de limitación de tasas por parte de Apple, no la falta de cripto», comentó Soghoian a través de Twitter.

Una» película » ya vista

En mayo de 2014, los ciberdelincuentes atacaron a un gran número de usuarios australianos de iCloud de Apple con un sofisticado esquema de extorsión.

Los usuarios de Apple fueron el objetivo del ataque tipo ransomware que bloqueó iPhone, Mac e iPads a través de iCloud y un mensaje originado en el servicio Find my iPhone de Apple que decía «Dispositivo hackeado por Oleg Pliss».

Truco de figura – iCloud por Oleg Pliss

Implementando un esquema de extorsión consolidado, los delincuentes solicitan desbloquear el dispositivo enviando un rescate de hasta 1 100 a una cuenta de Paypal específica.

» Fui a revisar mi teléfono y había un mensaje en la pantalla (todavía está ahí) que decía que mi dispositivo había sido pirateado por ‘Oleg Pliss’ y exigió 1 100 USD/EUR(enviado por paypal a lock404 (at) hotmail.com) para devolvérmelos», escribió una víctima del nuevo ransomware en el Foro de soporte de Apple.

En realidad, los usuarios de Apple no se enfrentan a una infección clásica de sus dispositivos por ransomware; los atacantes supuestamente secuestraron la función Find My iPhone de Apple. De esta manera, los delincuentes bloquean de forma remota los dispositivos iOS y Mac y envían mensajes exigiendo dinero de rescate.

Los ciberdelincuentes usaban cuentas de iCloud comprometidas que probablemente no utilizaban un proceso de verificación de dos pasos. Para estas cuentas, los hackers pueden obtener acceso al dispositivo simplemente utilizando credenciales robadas.

En este escenario de ataque, la única posibilidad de recuperar el dispositivo para los propietarios de dispositivos Apple es restablecerlo en «modo de recuperación», pero este proceso borrará todos los datos almacenados en el dispositivo y las aplicaciones instaladas.

¿Quién es el culpable?

La búsqueda del culpable está abierta. El desarrollador Bryan Hamade es uno de los principales sospechosos de la fuga de datos. Los usuarios de Reddit y 4chan especularon sobre la posibilidad de que Hamade fuera el culpable porque una captura de pantalla publicada en línea parecía mostrar una serie de nombres relacionados con una empresa de desarrollo web en Georgia.

Figura – Bryan Hamade sospechoso como culpable del hackeo

El hombre rechazó la acusación y explicó a los medios que solo había informado de las imágenes.

«Solo volví a publicar una cosa que se publicó en otro lugar y estúpidamente tenía mis carpetas de red visibles.»

» No soy el filtrador original. El tipo real está en 4chan publicando intermitentemente, «» Lo más probable es que sea el que está detrás de él, pero parece que las fotos se pasaron a varias personas antes de filtrarse, por lo que puede ser solo alguien que las tiene y no las hackeó para obtenerlas. Ni en un millón de años sabría hackear ninguna de las cuentas listadas. 4chan me atacó porque les gusta atacar a cualquiera en situaciones como esta», dijo.

Hamade reveló que estaba recibiendo amenazas continuas de personas que investigaban el presunto hackeo de iCloud:

«ha sido una pesadilla y no he dormido en 34 horas, ahora. los usuarios de 4chan me acosan con llamadas telefónicas y correos electrónicos sin parar. Me envían correos electrónicos constantemente, diciéndome que hackearán mis sitios web personales y seguirán llamando a mi teléfono, llamándome marica y luego colgando. También dijeron que van a hackear mi mamá sitio, así que me llevó hacia abajo … lo lamento tanto … yo ni siquiera llegar a cualquier bitcoin fuera de él. Es la cosa más estúpida que he hecho y espero que no arruine mi vida, aunque probablemente lo haga ya que es la noticia más importante.»

Cómo proteger su nube personal

Los servicios de almacenamiento en la nube son muy populares. Los usuarios y las empresas almacenan una cantidad impresionante de datos en la nube, y es importante comprender cómo mejorar su protección. En primer lugar, le sugiero que active la autenticación de dos factores para los servicios que la implementan y elija una contraseña segura, especialmente cuando es la única protección que conserva nuestros datos.

El Aviso de medios de Apple
El martes a última hora, Apple lanzó una actualización de la investigación de fotos de celebridades. La compañía confirmó que las imágenes fueron robadas de las cuentas de celebridades que sufrieron un «ataque muy dirigido», pero sus ingenieros excluyen la posibilidad de que la brecha fuera causada por la explotación de cualquier falla en la arquitectura de iCloud o en la función Buscar mi iPhone:

«Después de más de 40 horas de investigación, hemos descubierto que ciertas cuentas de celebridades se vieron comprometidas por un ataque muy dirigido a nombres de usuario, contraseñas y preguntas de seguridad, una práctica que se ha vuelto demasiado común en Internet. Ninguno de los casos que hemos investigado ha sido el resultado de una violación en ninguno de los sistemas de Apple, incluidos iCloud® o Find my iPhone. Seguimos trabajando con las fuerzas del orden para ayudar a identificar a los delincuentes involucrados. «afirma el aviso de Apple.

¿Cómo elegir una contraseña segura?

Para componer contraseñas difíciles de adivinar, déjame recomendar:

  • Use contraseñas largas (longitud mínima de siete caracteres, preferiblemente más para aumentar la fuerza)
  • Use una amplia gama de caracteres que incluyen A-Z, a-z, 0-9, signos de puntuación y símbolos, como#@@, si es posible
  • Como regla, intente usar al menos un carácter en minúsculas y un carácter en mayúsculas, y al menos un dígito. Si es técnicamente posible, también use un signo de puntuación. Esto ayuda a aumentar el espacio total de búsqueda.
  • Use números en lugar de letras en algunos casos. Cambie » i » por «1»,» E «por» 3″,» A «por» 4 «(o@),» S «por» 5″,» G «por» 6″,» O «por»0». Una vez más, esto ayuda a aumentar el espacio de búsqueda.

Evite las contraseñas triviales porque siempre están incluidas en un diccionario de contraseñas. Las contraseñas no deben incluir su nombre o Nombre de usuario/ID de usuario. Es importante crear contraseñas complejas pero fáciles de recordar. Por ejemplo, supongamos que eres un gran fan de Los Simpson. Una buena contraseña para su correo electrónico podría ser algo como: Ih4teM0ntg0m3ry # Burn5(si no la recibe, significa «Odio a Montgomery Burns»). Y para Facebook, tal vez puedas usar B4rT#I5#MY#Fr13nD («Bart es mi amigo», con números en lugar de letras y cada palabra que comienza y termina en mayúsculas). Estos no son tan fáciles de adivinar por ataques de fuerza bruta debido a la longitud, el rango de caracteres (mayúsculas y minúsculas, números y símbolos), y porque saber que te gustan Los Simpson no significa que sea fácil derivar lo que piensas de Los personajes de Los Simpson.

Cuando uses expresiones o frases largas como contraseña, intenta usar alguna técnica sencilla para sustituir una letra por otra diferente: por ejemplo, sustituir cada letra » a «por el símbolo «porcentaje». Esto ayuda a prevenir los ataques de diccionario y, al mismo tiempo, facilita el recuerdo de la frase de contraseña.

Otra posibilidad para los usuarios es adoptar gestores de contraseñas que permitan a los usuarios utilizar contraseñas complejas.

Habilite la autenticación de dos factores para el servicio Apple iCloud

En primer lugar, inicie sesión en su cuenta de Apple con su ID de Apple.

  • Selecciona «Administrar tu ID de Apple e iniciar sesión»
  • Selecciona «Contraseña y seguridad»
  • En «Verificación en dos pasos», selecciona «Comenzar» y sigue las instrucciones.

Conclusiones

Tenga en cuenta, porque no solo las celebridades están expuestas a tales riesgos. No importa si eres un gerente o un individuo común, tus datos son un bien preciado en el ecosistema de la ciberdelincuencia. Por esta razón, es importante conocer las principales amenazas cibernéticas y las principales prácticas de mitigación. Esto podría ser solo el comienzo. En este momento hay mucha confusión en el evento, pero Taylor Swift de InfoSec advirtió que otras celebridades pueden haber sido impactadas:

» _Este es solo el comienzo._ Se han mostrado carpetas de imágenes con miniaturas visibles, muchas celebridades aún por impactar que lo harán.»

Apple le dijo a Recode el lunes que estaba investigando el incidente para descubrir si estas cuentas de iCloud realmente habían sido hackeadas y cómo.

«Nos tomamos muy en serio la privacidad de los usuarios y estamos investigando activamente este informe», dijo la portavoz de Apple, Natalie Kerris.

Manténgase atento para obtener más información.

http://www.businessinsider.com/4chan-nude-photo-leak-2014-8

http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9

http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/

http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html

http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9

http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/

http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9

Extortion scheme based on ransom request hit Australian Apple Users

http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence

http://pastebin.com/rHSTg6i8

Part 1: Authentication Series – A world of passwords

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *