Påståtte Hack av iCloud Utsatt Nakenbilder Av Kjendiser Online

saken

sladder nyheter denne uken er den påståtte hack Av Apples iCloud av mange kjendiser. Hundrevis av nakne bilder angivelig tilhører mer enn hundre skuespillere og sangere har blitt avslørt på nettet.på søndag ble bildene av 101 kjendiser, Inkludert Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst og Selena Gomez lagt ut på online image sharing forum 4chan, og rykter rapporterer at bildene ble hentet fra kjendisenes kontoer På Apple iCloud-tjenesten.Anonyme brukere på 4chan hevdet å ha tatt dem fra tjenesten, Og Til tross For At Apple ikke har kommentert hendelsen, bekrefter analysen av BILDETS innebygde EXIF-metadata at flertallet ble tatt ved Hjelp Av Apple-enheter. Derimot, skuespiller Mary Elizabeth Winstead hevdet at hennes lekket bildene ble tatt » år siden.»

en detaljert analyse av metadataene til det lekkede bildet er tilgjengelig På Pastebin på følgende adresse:

http://pastebin.com/rHSTg6i8

den anonyme brukeren som først postet kjendisenes bilder hevdet å ha andre bilder og eksplisitte videoer Av Lawrence og ba om donasjoner Via PayPal og Bitcoin for å legge dem ut.

hendelsen har reist spørsmål om sikkerhetsnivået som tilbys av elektroniske tjenester som skylagring. ICloud-tjenesten lar Apple-brukere automatisk lagre dataene sine på nettet, inkludert bilder, dokumenter og e-postmeldinger. Brukere kan få tilgang til sine dokumenter fra hvor som helst når autentisert til tjenesten. Det er sannsynlig at angriperne i utgangspunktet kompromiserttheicloudaccount som tilhører en eller flere kjendiser, deretter ved å «kjede» mellom kontoer, fikk tilgang til offerets adressebok for å samle data for videre angrep.4chan-brukeren som postet flertallet av bildene, søkte Etter Bitcoin-donasjoner for å publisere flere lekkede bilder og videoer.analysen av transaksjonsregistrene knyttet Til Bitcoin-kontoen (18pgun3bbbdnqjkg8zgedfvcovcsv1knwa) som brukes som samler for donasjonene, viser at den har mottatt åtte donasjoner for totalt 0.26 BTC.

Figur – Bitcoin-konto brukt av hackeren som lekket bildene

det er usannsynlig at hackere har kompromittert Hele Apple iCloud-tjenesten og dens infrastruktur. Den påståtte angriperen brukte mest sannsynlig noe hack for å målrette mot bestemte kontoer.

Vi har allerede diskutert tidligere at det er mange måter å krenke en brukerkonto på. En angriper kan gjette brukerens legitimasjon, stjele dem med en malware, eller bare tilbakestille offerets konto ved å finne den tilknyttede e-postadressen og deretter svare på sikkerhetsspørsmålene. En angriper kan samle nødvendig informasjon om ofrene gjennom ulike former for sosialtekniske angrep. Dataene som samles inn, kan hjelpe ham med å utføre en nødprosedyre (f. eks. tilbakestilling av passord, tilbakestilling av sikkerhetskopi), bare å svare på en rekke spørsmål.nettstedet The Next Web, etter publisering av bildene, har avslørt eksistensen av en kode for hacking av iCloud som ble lagt ut på Open source-nettstedet GitHub.programmet utnytter et sikkerhetsproblem som Allerede er løst Av Apple, I ‘Finn min iPhone’ – tjenesten for å gjette passord med ubegrensede forsøk uten å være låst ut.

Finn iPhone-funksjonen gjør det mulig for brukere å finne Og beskytte Apple-enhetene sine (iPhone, iPad, iPod touch eller Mac) hvis De mistes eller blir stjålet. Angriperen kan brute tvinge offerets konto, en operasjon som kan forbedres ved å velge passordene fra en ordbok med ord og uttrykk. Valget av disse databasene med passord kan drives av kunnskap om ofrene, deres vaner og deres preferanser.En av kjendisofrene for datalekkasjen, Jennifer Lawrence, har bekreftet ektheten av bildene hennes. Hennes talsmann definerte hendelsen som et «flagrant brudd på personvernet» og truet med å påtale alle som delte bildene på nettet.»myndighetene har blitt kontaktet og vil straffeforfølge alle som legger ut De stjålne bildene Av Jennifer Lawrence,» sa talsmannen.Sikkerhetseksperter spekulerer i at bilder kan ha blitt stjålet fra ofrenes Dropbox-kontoer. Noen har antydet at innsidere «med tilgang til data et sted laget en privat stash» og ble senere hacket av den enkelte som lekket bildene på nettet.jeg utelukker hypotesen ovenfor fordi iCloud-sikkerhetskopier, inkludert bilder, er kryptert, og selv ved å få tilgang til kontoen, er det ikke mulig å dekryptere informasjonen som er lagret i Apple-Skyen.»Noen har også pekt på Tilstedeværelsen Av En Dropbox-opplæringsfil i en hacket konto som tyder på at tredjeparts skylagringstjeneste var en kilde til noen bilder,» sier Guardian i et innlegg på hendelsen.

En annen populær mobilapplikasjon ble nevnt i mange artikler lagt ut på datalekkasjen Er Snapchat. Flere bilder hadde tekst overlaid, noe som indikerer at minst noen av bildene ble delt Med Snapchat. Selv Om Snapchat ble rammet av store sikkerhetsproblemer de siste månedene, er det lite sannsynlig at bruddet er årsaken til datainnbruddet.På tidspunktet For denne skrivingen Har Apple løst sikkerhetsproblemet I Apple iCloud-tjenesten som kunne ha blitt utnyttet av angripere for å krenke kjendiskontoer og stjele bildene sine. Sikkerhetsoppdateringen kommer bare noen få timer etter at hackere publiserte hundrevis av nakne kjendisbilder på 4chan.

feilen – Apples «Finn min iPhone» – innlogging sårbar for brute force-angrep

hackerne som lekket de private kjendisbildene på nettet, kan ha utnyttet En feil i Apples «Finn min iPhone» – funksjon, som gjør at en angriper kan brute force brukerens konto.Et par timer etter datalekkasjen ble Det på GitHub online-depotet publisert Et Python-skript som kunne brukes til Å «brute force» en Apple iCloud-kontos passord, og utnytte sårbarheten I Finn min iPhone-tjenesten. Angriperen kan bruke skriptet til å gjentatte ganger gjette passord i et forsøk på å oppdage den rette.

skriptet var tilgjengelig for alle, i hvert fall for et par dager, Før Apple løste sårbarheten, blokkerte kontoene etter fem mislykkede forsøk.

det er uklart hvor lenge dette sikkerhetsproblemet var tilstede i Finn min iPhone-funksjonen. Den eneste sikkerheten er at feilen var utnyttbar av angripere som var klar over ofrenes e-postadresse.

eieren av verktøyet, Hackapp, rapporterte at reparasjonen ble brukt 3: 20 PT. Uansett, bemerket han at det ikke er noe bevis for at ibrute var involvert i denne hendelsen.»jeg har ikke sett noen bevis ennå, men jeg innrømmer at noen kunne bruke dette verktøyet,» sa han.

Figur – HackApp Tweet

figur – github pythonscript les meg fil

skriptet kan gjette passord gjentatte ganger uten lockout eller varsel til målet. Når passordet er oppdaget, kan det brukes til å få tilgang til offerets konto.

Figur – Kjører Python script

Hackapp bekreftet at denne typen feil er svært vanlig for autentiseringstjenestegrensesnitt:

«denne feilen er vanlig for alle tjenester som har mange autentiseringsgrensesnitt» og at med «grunnleggende kunnskap om sniffing og reverseringsteknikker» er det «trivielt» å avdekke dem,» sa eksperten.Hackapp postet også lysbildene som inneholdt detaljer om angrepsordningen og en analyse av sikkerhetsproblemer knyttet til iCloud-nøkkelringen.

Figur – Lysbilder publisert Av Hackapp

Et interessant synspunkt er Christopher Soghoian, rektor for teknologi Ved American Civil Liberties Union, om feilen I Apple-systemet og dens påståtte utnyttelse:»hvis kjendisenes icloud-konto passord ble brute tvunget, synes problemet å være mangel på rentebegrensning av apple, ikke mangel på krypto,» kommenterte soghoian via twitter.

En «film» allerede sett

I Mai 2014, cyber kriminelle rettet et stort antall Australske brukere Av Apples iCloud med en sofistikert utpressing ordningen.Apple-brukere ble målrettet av ransomware-lignende angrep som låste iPhone, Mac og iPads gjennom iCloud og en melding som stammer Fra Apples Finn min iPhone-tjeneste som uttalte «Enhet hacket Av Oleg Pliss».

Figur – iCloud hack Av Oleg Pliss

Implementere en konsolidert utpressing ordningen, de kriminelle be om å låse opp enheten ved å sende opp til $100 løsepenger til en Bestemt Paypal-konto.»jeg gikk for å sjekke telefonen min og det var en melding på skjermen (den er fortsatt der) som sa at enheten min hadde blitt hacket av «Oleg Pliss», og han/hun / de krevde $ 100 USD / EUR (sendt av paypal til lock404 (at)hotmail.com) for å returnere dem til meg, » skrev et offer for den nye ransomware På Apple Support Forum.I virkeligheten Står Apple-brukere ikke overfor en klassisk infeksjon av sine enheter av ransomware; angriperne angivelig kapret Apples Finn min iPhone-funksjon. På denne måten kriminelle eksternt låse iOS og Mac-enheter og sende meldinger krevende løsepenger.

cyberkriminelle brukte kompromitterte iCloud-kontoer som sannsynligvis ikke brukte en to-trinns bekreftelsesprosess. For disse kontoene kan hackere få tilgang til enheten ved å bruke stjålet legitimasjon.

i dette angrepet scenario, den eneste muligheten til å gjenopprette enheten for eiere Av Apple-enheter er å tilbakestille den i «recovery mode», men denne prosessen vil slette alle data som er lagret på enheten og programmer installert.

Hvem er den skyldige?

jakten på synderen er åpen. Utvikleren Bryan Hamade er en av de viktigste personene som mistenkes for datalekkasjen. Reddit og 4chan brukere spekulert på muligheten For At Hamade er den skyldige fordi et skjermbilde lagt ut på nettet syntes å vise en rekke navn knyttet til et webutviklingsselskap I Georgia.

Figur-Bryan Hamade mistenkt som skyldige av hack

mannen nektet anklagen og forklarte til media at han bare har rapportert bildene.

«jeg reposted bare en ting som ble lagt ut andre steder og dumt hadde nettverksmappene mine synlige.»

» jeg er ikke den opprinnelige leaker. The real guy er på 4chan poste midlertidig, «» Han er mest sannsynlig den bak det, Men det virker bildene gått rundt til flere personer før de blir lekket, så det kan bare være noen som har dem og ikke hacke for å få dem. Jeg ville aldri i en million år vet hvordan å hacke inn noen av kontoene oppført. 4chan angrep meg bare fordi de liker å angripe noen i situasjoner som dette,» sa han.Hamade avslørte at han hans mottar kontinuerlige trusler fra folk som undersøker den påståtte iCloud hack:»Det har vært et mareritt, og jeg har ikke sovet på 34 timer nå. 4chan brukere er trakasserende meg med non-stop telefonsamtaler og e-post. De e meg hele tiden, e-post sier de vil hacke mine personlige nettsteder og holde ringer telefonen min, ringer meg en fag og deretter henge opp. De sa også at de vil hacke min mors nettsted, så jeg tok det ned … jeg beklager det så mye … jeg fikk ikke engang noen bitcoin ut av det. Det er det dummeste jeg har gjort, og jeg håper det ikke vil ødelegge livet mitt, selv om det sannsynligvis vil, siden det bare er den største nyhetshistorien.»

slik sikrer du din personlige sky

Skylagringstjenester er svært populære. Brukere og bedrifter lagrer en imponerende mengde data i skyen, og det er viktig å forstå hvordan man kan forbedre beskyttelsen. Først og fremst, la meg foreslå å aktivere tofaktorautentisering for tjenestene som implementerer den, og velg et sterkt passord, spesielt når det er den eneste beskyttelsen som bevarer dataene våre.

Apple Media Advisory
Sent tirsdag lanserte Apple En oppdatering til celebrity photo investigation. Selskapet bekreftet at bildene ble stjålet fra kjendiser kontoer som led en «svært målrettet angrep,» men dets ingeniører utelukke at bruddet var forårsaket av utnyttelse av eventuelle feil i iCloud arkitektur eller I Finn min iPhone-funksjonen:»etter mer enn 40 timer med etterforskning, vi har oppdaget at enkelte kjendis kontoer ble kompromittert av en svært målrettet angrep på brukernavn, passord og sikkerhetsspørsmål, en praksis som har blitt altfor vanlig på Internett. Ingen av sakene vi har etterforsket har resultert i brudd på Noen Av Apples systemer, inkludert iCloud® eller Finn min iPhone. Vi fortsetter å jobbe med rettshåndhevelse for å identifisere de involverte kriminelle. «sier Apple rådgivende.

hvordan velge et sterkt passord?

for å skrive vanskelige å gjette passord, la meg anbefale:

  • Bruk lange passord (minimum lengde på syv tegn, helst mer for å øke styrken)
  • Bruk et bredt spekter av tegn, inkludert A-Z, a-z, 0-9, tegnsetting og symboler, som#$@, hvis mulig
  • prøv som regel å bruke minst ett små og et stort tegn, og minst ett siffer. Hvis det er teknisk mulig, bruk også et tegnsettingstegn. Dette bidrar til å øke den totale søkeplassen.
  • Bruk tall i stedet for bokstaver i noen tilfeller. Endre» i «med » 1″, «E» med «3», «A» med «4» (eller@), «S» med «5», «G» med «6», «O»med » 0″. Igjen bidrar dette til å øke søkeplassen.

Unngå trivielle passord fordi de alltid er inkludert i en passordordbok. Passord bør ikke inneholde navn eller Innlogging/Bruker-ID. Det er viktig å lage komplekse, men enkle å huske passord. For eksempel, anta at du er en stor fan Av The Simpsons. Et godt passord for din e-post kan v re noe i retning av: Ih4teM0ntg0m3ry#Burn5(hvis du ikke far det, betyr det «Jeg hater Montgomery Burns»). Og For Facebook kan Du kanskje bruke B4rT#I5#MY#Fr13nD («Bart er min venn», med tall i stedet for bokstaver og hvert ord som begynner og slutter i store bokstaver). Disse er ikke så enkle å gjette ved brute force-angrep på grunn av lengden, tegnområdet (store og små bokstaver, tall og symboler), og fordi du vet At Du liker Simpsons, betyr Det ikke at det er lett å utlede hva Du synes Om Simpsons – tegnene.

når du bruker lange uttrykk eller setninger som passord, kan du prøve å bruke en enkel teknikk for å erstatte en bokstav med en annen bokstav: for eksempel erstatter hver bokstav ‘ a ‘med symbolet ‘prosent’. Dette bidrar til å forhindre ordboksangrep samtidig som det er enkelt å huske passordet ditt.

En annen mulighet for brukere er å vedta passord ledere som tillater brukere også å bruke komplekse passord.

Aktiver tofaktorautentisering for Apple iCloud-tjenesten

først av Alt, logg Inn På Apple-kontoen Din Med Apple-ID-EN din.

  • Velg «Administrer Apple-ID-EN din og logg på»
  • Velg «Passord Og Sikkerhet»
  • under» To-Trinns Bekreftelse «velger Du» Kom i Gang » og følger instruksjonene.

Konklusjoner

Vær oppmerksom, fordi ikke bare kjendiser er utsatt for slike risikoer. Uansett om du er en leder eller et felles individ, er dataene dine en verdifull vare i cyberkriminalitetens økosystem. Av denne grunn er det viktig å kjenne til de viktigste cybertruslene og de viktigste begrensningspraksisene. Dette kan bare være begynnelsen. For øyeblikket er det mye forvirring på arrangementet, Men Infosecs Taylor Swift advarte om at andre kjendiser kan ha blitt påvirket:

» _dette Er bare begynnelsen._ Mapper med bilder med miniatyrbilder synlige har blitt vist, mange kjendiser ennå å bli påvirket som vil . «Apple fortalte Recode på mandag at Det var å undersøke hendelsen for å finne ut om disse iCloud-kontoene virkelig hadde blitt hacket og hvordan.»Vi tar brukernes personvern veldig alvorlig og undersøker aktivt denne rapporten,» Sa Natalie Kerris, talskvinne For Apple.

Følg med for mer informasjon.

http://www.businessinsider.com/4chan-nude-photo-leak-2014-8

http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9

http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/

http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html

http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9

http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/

http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9

Extortion scheme based on ransom request hit Australian Apple Users

http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence

http://pastebin.com/rHSTg6i8

Part 1: Authentication Series – A world of passwords

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *