경우
십 뉴스의 이번 주 혐의 해킹 애플의 아이 클라우드의 많은 유명 인사입니다. 100 명 이상의 배우와 가수에게 의도적으로 속한 수백 개의 알몸 사진이 온라인으로 공개되었습니다.
일요일에,사진 101 개의 유명 인사를 포함하여,아리아나 그란데,제니퍼 로렌스,빅토리아 정의,Kate Upton,Kim Kardashian,리안,스토리’즈에 게시했 온라인 이미지 공유하고 포럼 4chan,그리고 소문을 보고 사진을 얻을 수 있었에서 유명 인사들이 계정에서 애플 아이 클라우드 서비스입니다.
익명 사용자에 4chan 했다고 주장하는 서비스에서,그리고 그럼에도 불구하고 애플지에 댓글 이벤트,분석이 포함된 이미지 EXIF 메타데이터는 것을 확인합 대부분이었을 사용하여 찍은 사랑에 감사 드립니다. 그러나 여배우 메리 엘리자베스 윈스 테드(Mary Elizabeth Winstead)는 유출 된 사진이”몇 년 전에 찍혔다 고 주장했다.”
의 상세한 분석을 메타데이터의 유출 이미지에서 사용할 수 있 Pastebin 에 다음 주소:
http://pastebin.com/rHSTg6i8
익명 사용자가 첫 번째 게시한 연예인의 사진을 주장하여 다른 사진하고 명시적인 동의 로렌스와 요청한 기부금은 페이팔을 통해 비트코인에 게시니다.
이 사건은 클라우드 스토리지와 같은 온라인 서비스가 제공하는 보안 수준에 대한 질문을 제기했습니다. ICloud 서비스를 통해 Apple 사용자는 사진,문서 및 이메일을 포함하여 온라인으로 데이터를 자동으로 저장할 수 있습니다. 사용자는 서비스에 인증되면 어디에서나 자신의 문서에 액세스 할 수 있습니다. 그것을 가능성이 높은 공격자로 처음에 compromisedtheiCloudaccount 에 속하는 하나 이상의 유명 인사에 의해 다음,”연결”사이의 계정에 대한 액세스 권한을 얻을 피해자의 주소 예약 수집하는 데이터에 대한 더 공격입니다.
대부분의 사진을 올린 4chan 사용자는 더 많은 유출 된 사진과 비디오를 게시하기 위해 Bitcoin 기부를 요청했습니다.
의 분석을 트랜잭션 레코드와 관련된 비트코인 계정(18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knwa)으로 사용되는 수집기 위한 기부금을 계시를 받은 것은 여덟 기부 총 0.26BTC.
그림–비트코인 계정을 사용에 의해 해커가 유출 사
그 가능성이 있는 해커가 해킹되어 전체 애플 아이 클라우드 서비스와 인프라. 주장 된 공격자는 특정 계정을 대상으로 일부 해킹을 사용했을 가능성이 큽니다.
우리는 이미 과거에 사용자 계정을 위반하는 많은 방법이 있다고 논의했습니다. 공격자는 추측에는 사용자의 자격 증명을 훔치는 그들과 악성 코드,또는 단순히 다시 설정하고 피해자의 계정을 발견하여 관련된 이메일 주소와 다음에 대답하’보안 문제’. 공격자는 다양한 형태의 사회 공학 공격을 통해 피해자에 대한 필요한 정보를 수집 할 수 있습니다. 데이터 모여 그를 도울 수 있을 실행하는 응급 절차(예를들면 암호를 다시 설정 백업 리셋)단순히 일련의 질문에 대답.
웹 사이트 The Next Web 은 사진을 게시 한 후 오픈 소스 웹 사이트 GitHub 에 게시 된 iCloud 의 해킹 코드의 존재를 밝혀 냈습니다.
이 응용 프로그램은’내 iPhone 찾기’서비스에서 Apple 이 이미 수정 한 취약점을 악용하여 잠기지 않고 무제한 시도로 암호를 추측합니다.
내 iPhone 찾기 기능을 사용하면 사용자가 분실하거나 도난당한 경우 Apple 기기(iPhone,iPad,iPod touch 또는 Mac)를 찾아 보호 할 수 있습니다. 공격자는 피해자의 계정,단어와 구문의 사전에서 암호를 선택하여 개선 할 수있는 작업을 무차별 할 수 있습니다. 암호의 이러한 데이터베이스의 선택은 자신의 습관과 환경 설정의 피해자의 지식에 의해 구동 될 수있다.
데이터 유출의 유명인 피해자 중 한 명인 제니퍼 로렌스(Jennifer Lawrence)는 사진의 진위 여부를 확인했습니다. 그녀의 대변인은이 사건을”사생활 침해”로 정의하고 이미지를 온라인으로 공유 한 사람을 기소하겠다고 위협했다.대변인은”당국은 연락을 받았으며 제니퍼 로렌스의 도난당한 사진을 게시하는 사람을 기소 할 것”이라고 말했다.
보안 전문가들은 사진이 피해자의 보관 용 계정에서 도난 당했을 수 있다고 추측하고 있습니다. 누군가가 그 가설 관계자는”과 데이터 액세스 어딘가 만든 개인 숨기”및 그 이후에 해킹에 의해 개인에게 유출 사진 온라인.
제외 위의 가설이기 때문에 iCloud 백업 사진을 포함한,암호화,심지어에 액세스하여 계정이 가능하지 않을 해독에 저장된 정보는 클라우드 애플.
“일부는 또한 지적 존재의 Dropbox 튜토리얼에서 파일을 하나의 계정이 해킹으로 제안하는 타사 클라우드 스토리지 서비스의 원천이었는 일부 사진,”국 보호자서에 사건입니다.
데이터 유출에 게시 된 수많은 기사에서 언급 된 또 다른 인기있는 모바일 응용 프로그램은 Snapchat 입니다. 여러 장의 사진에 텍스트가 겹쳐져있어 적어도 일부 사진이 Snapchat 과 공유되었음을 나타냅니다. Snapchat 은 지난 몇 개월 동안 주요 보안 문제의 영향을 받았지만 그 위반이 데이터 유출의 원인 일 가능성은 거의 없습니다.
에 이 글을 쓰는 시,애플이 고정되는 보안 취약점을 Apple iCloud 서비스할 수 있는 공격에 의해 악용을 위반하는 연예인 계정을 훔치는 자신의 사진. 보안 패치는 해커가 4chan 에 수백 개의 누드 유명인 사진을 게시 한 지 불과 몇 시간 만에 나옵니다.
결함을–애플의”내 아이폰 찾기 로그인”에 취약하고 무력을 공격
해커는 유대인 연예인 사진 온라인할 수 있습한 악의에서 결함 Apple’s”내 아이폰 찾기”기능을 할 수 있습 공격을 무력을 사용자의 계정이다.
몇 시간 후에 데이터 유출,on GitHub 온라인 저장소에 출판되었다 Python 스크립트를 사용할 수 있는”힘”애플이 클라우드 계정의 비밀번호,취약점을 악용하기에서 내 아이폰 서비스입니다. 공격자는 스크립트를 사용하여 올바른 것을 발견하려는 시도에서 암호를 반복적으로 추측 할 수 있습니다.
스크립트를 사용할 수 있었 사람을 위해서 적어도 몇 일 전에,애플의 수정,취약점을 차단 계정이 실패 시도합니다.
이 취약점이 내 iPhone 찾기 기능에 얼마나 오래 있었는지 명확하지 않습니다. 유일한 확실성은 결함이 피해자의 이메일 주소를 알고있는 공격자에 의해 악용 된 것입니다.
도구의 소유자 인 Hackapp 는 수정 프로그램이 오전 3 시 20 분 PT 에 적용되었다고보고했습니다. 어쨌든 그는 이브루트가이 사건에 연루되었다는 증거는 없다고 말했다.아직 증거를 보지 못했지만 누군가가이 도구를 사용할 수 있다는 것을 인정한다”고 말했다.
그림–HackApp 트윗
그림–GitHub PythonScript 읽어보 파일의
스크립트를 추측할 수 있는 암호 없이 반복적으로 어떤 잠금 또는 경고를 대상으로 합니다. 암호가 발견되면,그것은 피해자의 계정에 액세스하는 데 사용될 수있다.
그림–실행 Python 스크립트
Hackapp 확인이 이런 종류의 결함은 매우 일반적인에 대한 인증 서비스 인터페이스:
“이 일반적인 모든 서비스에 대해 많은 인증을 인터페이스”그것으로”기본적인 지식의 스니핑과 반전하는 기술이”그것은”사소한”을 밝히기 위해 그들이,”말했다는 전문가입니다.
Hackapp 또한 게시 슬라이드 포함하는 세부 사항에서 공격을 방식의 분석 보안 문제에 관련된 iphone.
그림–슬라이드 발행 Hackapp
흥미로운 관점의 Christopher Soghoian,주요 기술에서 미국 시민 자유 연합에서 결함에서의 애플 시스템과 혐의 악용:
“는 경우 유명인’아이 클라우드 계정과 비밀번호가 무 강제로,문제의 것 같다 부족의 속도를 제한하여 부족하지 않습의 암호화,”댓글 Soghoian 트위터를 통해.
는”영화”이미 본
In May2014,사이버 범죄자를 대상으로 많은 수의 사용자가 애플의 아이 클라우드와 세련된 강요 제도입니다.
Apple 사용자는 iCloud 를 통해 iPhone,Mac 및 ipad 를 잠근 ransomware 와 같은 공격과”Oleg Pliss 가 해킹 한 장치”라고 명시된 Apple 의 find my iPhone 서비스에서 발생하는 메시지의 대상이되었습니다.
그 클라우드 해킹에 의해 올렉 Pliss
을 구현하는 통합탈 방식의 범죄 요청 장치의 잠금을 해제하여 전송$100 몸값을 특정 페이팔 계정이다.
“나는 확인할 수 있는 메시지 화면에서는(그것은 여전히이)말하는 내 device(s)해킹되었에 의해’올렉 Pliss’와 그녀들이 요구하는$100USD/EUR(보낸 페이팔을 lock404(at)hotmail.com)을 나에게 돌려주기 위해,”애플 지원 포럼에 새로운 랜섬웨어의 희생자를 썼다.
현실에서,사용자의하지 않은 직면하는 고전적인 감염의 그들의 장치에 의해 랜섬;공격자는 주장이 납치 애플의 내 아이폰 찾기 기능입니다. 이러한 방식으로 범죄자는 ios 및 Mac 장치를 원격으로 잠그고 몸값 돈을 요구하는 메시지를 보냅니다.
사이버 범죄자들은 2 단계 인증 프로세스를 사용하지 않을 가능성이있는 손상된 iCloud 계정을 사용하고있었습니다. 이러한 계정의 경우 해커는 도난당한 자격 증명을 사용하여 장치 액세스를 얻을 수 있습니다.
이 공격에서 시나리오에만 가능성을 복구하는 장치에 대한 소유자의 애플의 장치를 다시 설정에서의”복”모드지만,이 프로세스가 삭제됩니다 모든 장치에 저장된 데이터 및 그 응용 프로그램이 설치 됩니다.
범인은 누구입니까?
범인에 대한 사냥이 열려 있습니다. 개발자 Bryan Hamade 는 데이터 유출로 의심되는 주요 개인 중 하나입니다. 레딧 4chan 사용자가 추측에서는 가능성 Hamade 이 범인이기 때문에 스크린 샷을 온라인에 게시 등장을 표시하는 시리즈의 이름으로 연결된 웹 개발 회사에 있습니다.
그림–브라이언 Hamade 으로 의심되는 원인은 해킹의
기를 거부한 사람이 고발을 설명하는 미디어에 그는 단지 보고했습니다.”나는 다른 곳에 게시 된 한 가지만 재 게시하고 멍청하게 내 네트워크 폴더를 볼 수있었습니다.”
“나는 원래의 leaker 가 아닙니다. 실제 사람은 4chan 에 게시 간헐적으로,””그는 대부분의 뒤에 그것은 그러나 그것은 보이는 사진을 전달되는 주위를 여러 사람 앞에 유출되는,그래서 그냥 있을 수 있습 누군가 그들지 않았을 얻기 위해 해킹니다. 나는 백만 년 안에 나열된 계정 중 하나를 해킹하는 방법을 결코 알지 못할 것입니다. 4chan 은 단지 이와 같은 상황에서 누군가를 공격하기를 좋아하기 때문에 나를 공격했다”고 말했다.
Hamade 는 icloud 해킹 혐의를 조사하는 사람들로부터 지속적인 위협을받는 것으로 나타났습니다:
“악몽이었고 지금은 34 시간 만에 잠을 자지 못했습니다. 4chan 사용자는 논스톱 전화 및 이메일로 나를 괴롭 히고 있습니다. 그들은 나에게 이메일,지속적으로 이메일을 말하고 그들은 해킹 내 개인적인 웹사이트를 호출하면 나의 전화,나를 부르는 fag 는 다음을 매달려습니다. 그들은 또한 그들을 해킹을 엄마의 사이트,그래서 나는 했다 내가 후회 그것은 너무 많은…지도 않았어요 어떤 비트 코인의습니다. 그리석은 일이라고 했고 나는 그것을 희망하지 않겠지만 그것은 아마도 때문에 그것은 단지 가장 큰 뉴스는 이야기입니다.”
개인 클라우드 보안 방법
클라우드 스토리지 서비스는 매우 인기가 있습니다. 사용자와 기업은 클라우드에 인상적인 양의 데이터를 저장하며 보호 기능을 향상시키는 방법을 이해하는 것이 중요합니다. 첫째,내가 제안을 활성화하는 두 요인에 대한 인증 서비스는 그것을 구현하고 강력한 암호를 선택할 때 특히 유일한 보호를 보존하는 우리의 데이터입니다.
어떻게 강력한 암호를 선택?
추측하기 어려운 암호를 작성하려면 추천 해 드리겠습니다:
- 사용 긴 암호(최소 길이의 일곱 문자,바람직하게는 더 강도를 증가시키)
- 사용하는 넓은 범위의 문자를 포함하여 A-Z,A-z0-9,구두점과 기호처럼,#$@가능한 경우
- 원칙적으로 시도를 사용하여 적어도 하나의 낮은 경우 하나의 상단 케이스 문자,그리고 적어도 하나의 숫자입니다. 기술적으로 가능하다면 구두점도 사용하십시오. 이렇게하면 총 검색 공간을 늘리는 데 도움이됩니다.
- 어떤 경우에는 문자 대신에 숫자를 사용하십시오. “I”를”1″,”E”를”3″,”A”를”4″(또는@),”S”를”5″,”G”를”6”,”o”를”0″으로 변경하십시오. 다시 말하지만,이것은 검색 공간을 늘리는 데 도움이됩니다.
암호 사전에 항상 포함되어 있으므로 사소한 암호를 피하십시오. 비밀번호에는 이름이나 로그인/사용자 ID 가 포함되어서는 안됩니다. 복잡하지만 기억하기 쉬운 암호를 만드는 것이 중요합니다. 예를 들어,당신이 심슨 가족의 큰 팬이라고합시다. 좋은 비밀번호에 대한 귀하의 전자 메일 수 있습의 라인을 따라 뭔가:Ih4teM0ntg0m3ry#Burn5(하지 않는 경우에 그것은,그것의 의미는”내가 싫어 몽고메리즈”). 그리고 Facebook 의 경우 B4rT#I5#MY#Fr13nD(“Bart 는 내 친구입니다”,문자 대신 숫자와 대문자로 된 모든 단어 시작 및 마무리)를 사용할 수 있습니다. 이들은 그렇게 쉽지 않을 추측한 무력에 의해 공격 때문에 길이,문자 범위(상단 및 하단 케이스,숫자,기호),그리고 알고 있기 때문에 당신이 좋아하는 심슨 의미하지 않는 파생 쉽게 당신이 무슨 생각에 대한 심슨은 자입니다.
긴 표현이나 구를 암호로 사용하는 경우 몇 가지 간단한 기술을 사용하여 한 글자를 다른 글자로 대체하십시오: 예를 들어 모든 문자’a’를’per cent’기호로 바꿉니다. 이것은 당신의 패스 문구를 기억하기 쉽게 유지하면서 사전 공격에 대한 방지 할 수 있습니다.
사용자를위한 또 다른 가능성은 사용자가 복잡한 암호를 사용할 수 있도록 암호 관리자를 채택하는 것입니다.
Apple iCloud 서비스에 대해 이중 인증 사용
우선 Apple ID 로 Apple 계정에 로그인하십시오.
- “를 선택합 관리하는 Apple ID 및 등록하십시오에서는”
- Select”암호 및 보안”
- “에서 두 개의 단계 인증을 선택””시작”및 지침을 따릅니다.
결론
유명 인사뿐만 아니라 그러한 위험에 노출되어 있기 때문에주의하십시오. 관리자이든 일반인이든 상관없이 귀하의 데이터는 사이버 범죄 생태계에서 소중한 필수품입니다. 이러한 이유로 그것을 아는 것이 중요 주요 사이버 위협과 주요 완화 practices. 이것은 시작에 불과할 수 있습니다. 이 순간에 많은 혼란에는 이벤트,하지만 인포섹의 테일러 스 경고는 다른 유명인 영향되었을 수 있습니다:
“_This 은 단지 시작에 불과합니다._축소판이 보이는 이미지의 폴더가 표시되었으며,많은 유명인이 아직 영향을받지 않을 것입니다.”
애플 말했다 레코딩 월요일에 조사되었는 사건을 발견하는 경우 이러한 아이 클라우드 계정이 정말로 해킹과 방법이다.Apple 대변인 Natalie Kerris 는”우리는 사용자 개인 정보를 매우 중요하게 생각하며이 보고서를 적극적으로 조사하고 있습니다.자세한 내용은 계속 지켜봐주십시오.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8