Påstådd Hack av iCloud exponerade nakenbilder av kändisar på nätet

Inga kommentarer

fallet

skvallernyheterna i denna vecka är det påstådda hacket av Apples iCloud av många kändisar. Hundratals nakna bilder som påstås tillhöra mer än hundra skådespelare och sångare har avslöjats online.på söndagen publicerades bilderna på 101 kändisar, inklusive Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst och Selena Gomez på online-bilddelningsforumet 4chan, och rykten rapporterar att bilderna erhölls från kändisarnas konton på Apple iCloud-tjänsten.anonyma användare på 4chan hävdade att de hade tagit dem från tjänsten, och trots att Apple inte har kommenterat händelsen bekräftar analysen av den inbäddade EXIF-metadata att majoriteten togs med Apple-enheter. Dock, skådespelerskan Mary Elizabeth Winstead hävdade att hennes läckta bilder togs ”år sedan.”

en detaljerad analys av metadata för den läckta bilden finns tillgänglig på Pastebin på följande adress:

http://pastebin.com/rHSTg6i8

den anonyma användaren som först publicerade kändisarnas foton hävdade att han hade andra bilder och explicita videor av Lawrence och begärde donationer via PayPal och Bitcoin för att publicera dem.

händelsen har väckt frågor om säkerhetsnivån som erbjuds av onlinetjänster som molnlagring. ICloud-tjänsten tillåter Apple-användare att automatiskt lagra sina data online, inklusive foton, dokument och e-postmeddelanden. Användare kan komma åt sina dokument var som helst när de har autentiserats till tjänsten. Det är troligt att angriparna ursprungligen kompromissadetheicloudaccount som tillhör en eller flera kändisar, sedan genom att ”kedja” mellan konton, fick tillgång till offrets adressbok för att samla in data för ytterligare attacker.

4chan-användaren som publicerade majoriteten av bilderna begärde Bitcoin-donationer för att publicera mer läckta bilder och videor.

analysen av transaktionsposter relaterade till Bitcoin-kontot (18pgun3bbbdnqjkg8zgedfvcsv1knwa) som används som samlare för donationerna avslöjar att den har fått åtta donationer för totalt 0.26 BTC.

figur – Bitcoin-konto som används av hackaren som läckte bilderna

det är osannolikt att hackare har äventyrat hela Apple iCloud-tjänsten och dess infrastruktur. Den påstådda angriparen använde sannolikt något hack för att rikta in sig på specifika konton.

vi diskuterade redan tidigare att det finns många sätt att bryta mot ett användarkonto. En angripare kan gissa användarens referenser, stjäla dem med en skadlig kod eller helt enkelt återställa offrets konto genom att hitta den tillhörande e-postadressen och sedan svara på säkerhetsfrågorna. En angripare kunde samla in nödvändig information om offren genom olika former av socialtekniska attacker. De insamlade uppgifterna kan hjälpa honom att utföra ett nödförfarande (t.ex. återställning av lösenord, återställning av säkerhetskopiering), helt enkelt svara på en rad frågor.

webbplatsen Next Web, efter publiceringen av bilderna, har avslöjat förekomsten av en kod för hacking av iCloud som publicerades på Open source-webbplatsen GitHub.

applikationen utnyttjar en sårbarhet, som redan har fixats av Apple, i tjänsten’ Hitta min iPhone ’ för att gissa lösenord med obegränsade försök utan att låsas ut.

Med funktionen Hitta min iPhone kan användare hitta och skydda sina Apple-enheter (iPhone, iPad, iPod touch eller Mac) om de går förlorade eller blir stulna. Angriparen kan brute tvinga offrets konto, en operation som kan förbättras genom att välja lösenord från en ordlista med ord och fraser. Valet av dessa databaser med lösenord kan drivas av offrens kunskap, deras vanor och deras preferenser.ett av kändisoffren för dataläckaget, Jennifer Lawrence, har bekräftat äktheten av hennes bilder. Hennes talesman definierade händelsen som en” flagrant kränkning av privatlivet ” och hotade att åtala alla som delade bilderna online.”myndigheterna har kontaktats och kommer att åtala alla som publicerar de stulna bilderna av Jennifer Lawrence,” sade talesmannen.säkerhetsexperter spekulerar i att Foton kan ha stulits från offrens Dropbox-konton. Någon har antagit att insiders ”med tillgång till data någonstans gjorde en privat stash” och därefter hackades av den person som läckte bilderna online.

jag utesluter ovanstående hypotes eftersom iCloud-säkerhetskopior, inklusive foton, är krypterade, och även genom att komma åt kontot är det inte möjligt att dekryptera informationen lagrad i Apple-molnet.

”Vissa har också pekat på närvaron av en Dropbox-handledningsfil i ett hackat konto som tyder på att tredje parts molnlagringstjänst var en källa till några bilder”, säger Guardian i ett inlägg om händelsen.

en annan populär mobilapplikation nämndes i många artiklar som publicerades på dataläckaget är Snapchat. Flera bilder hade text överlagrad, vilket indikerar att åtminstone några av bilderna delades med Snapchat. Även om Snapchat påverkades av stora säkerhetsproblem under de senaste månaderna är det osannolikt att dess överträdelse är orsaken till dataöverträdelsen.

När detta skrivs har Apple fixat säkerhetsproblemet i Apple iCloud-tjänsten som kunde ha utnyttjats av angripare för att bryta mot kändiskonton och stjäla sina foton. Säkerhetsuppdateringen kommer bara några timmar efter att hackare publicerade hundratals nakna kändisfoton på 4chan.

felet-Apples” Hitta min iPhone ”- inloggning sårbar för brute force-attacker

hackarna som läckte de privata kändisfotona online kan ha utnyttjat ett fel i Apples” Hitta min iPhone ” – funktion, vilket gör det möjligt för en angripare att brute tvinga användarens konto.

några timmar efter dataläckaget publicerades ett Python-skript på GitHub online-förvaret som kunde användas för att ”brute force” ett Apple iCloud-konto lösenord, vilket utnyttjade sårbarheten i tjänsten Hitta min iPhone. Angriparen kan använda skriptet för att upprepade gånger gissa lösenord i ett försök att upptäcka den rätta.

skriptet var tillgängligt för alla, åtminstone i ett par dagar, innan Apple fixade sårbarheten och blockerade kontona efter fem misslyckade försök.

det är oklart hur länge denna sårbarhet fanns i funktionen Hitta min iPhone. Den enda säkerheten är att felet utnyttjades av angripare som var medvetna om offrens e-postadress.

ägaren av verktyget, Hackapp, rapporterade att fixen applicerades 3:20am PT. Hur som helst påpekade han att det inte finns några bevis för att ibrute var inblandad i denna händelse.

”Jag har inte sett några bevis ännu, men jag erkänner att någon kunde använda det här verktyget”, sa han.

figur – HackApp Tweet

figur – github pythonscript Läs mig fil

skriptet kan gissa lösenord upprepade gånger utan någon lockout eller varning till målet. När lösenordet har upptäckts kan det användas för att komma åt offrets konto.

Hackapp publicerade också bilderna som innehöll detaljer om attackschemat och en analys av säkerhetsproblem relaterade till iCloud-nyckelringen.

figurbilder publicerade av Hackapp

en intressant synvinkel är Christopher Soghoian, teknikchef vid American Civil Liberties Union, om felet i Apple – systemet och dess påstådda exploatering:

”om kändisernas iCloud-konto lösenord var brute tvingade, verkar problemet vara brist på hastighetsbegränsande av Apple, inte brist på krypto,” kommenterade Soghoian via Twitter.

en” film ” som redan sett

i maj 2014 riktade cyberbrottslingar ett stort antal australiska användare av Apples iCloud med ett sofistikerat utpressningsschema.

Apple-användare riktades mot den ransomware – liknande attacken som låste iPhone, Mac och iPads via iCloud och ett meddelande med ursprung i Apples Find my iPhone-tjänst som uppgav ”enhet hackad av Oleg Pliss”.

figur – iCloud hack av Oleg Pliss

genomföra en konsoliderad utpressning system, brottslingar begäran om att låsa upp enheten genom att skicka upp till $100 lösen till ett visst Paypal-konto.

”Jag gick för att kolla min telefon och det fanns ett meddelande på skärmen (det är fortfarande där) som säger att min enhet(er) hade hackats av ”Oleg Pliss” och han/hon/de krävde $100 USD/EUR (skickat av paypal till lock404(at)hotmail.com) för att returnera dem till mig,” skrev ett offer för den nya ransomware på Apple supportforum.

i verkligheten står Apple-användare inte inför en klassisk infektion av sina enheter av ransomware; angriparna påstås kapade Apples Find My iPhone-funktion. På detta sätt låser brottslingar på distans iOS-och Mac-enheter och skickar meddelanden som kräver lösenpengar.

cyberbrottslingarna använde komprometterade iCloud-konton som sannolikt inte använde en tvåstegsverifieringsprocess. För dessa konton kan hackare få åtkomst till enheten helt enkelt genom att använda stulna referenser.

i det här attackscenariot är den enda möjligheten att återställa enheten för ägare av Apple-enheter att återställa den i ”återställningsläge”, men den här processen raderar all data som lagras på enheten och installerade program.

Vem är den skyldige?

jakten på den skyldige är öppen. Utvecklaren Bryan Hamade är en av de viktigaste individerna som misstänks för dataläckaget. Reddit-och 4chan-användare spekulerade i möjligheten att Hamade är den skyldige eftersom en skärmdump som publicerades online tycktes visa en serie namn kopplade till ett webbutvecklingsföretag i Georgien.

figur – Bryan Hamade misstänkt som skyldig till hacket

mannen vägrade anklagelsen och förklarade för media att han bara har rapporterat bilderna.

”jag reposted bara en sak som publicerades någon annanstans och dumt hade mina nätverksmappar synliga.”

” Jag är inte den ursprungliga läckaren. Den riktiga killen är på 4chan inlägg intermittent, ”” han är troligen den bakom det, men det verkar bilderna gått runt till flera personer innan de läckt, så det kan bara vara någon som har dem och inte hacka för att få dem. Jag skulle aldrig på en miljon år veta hur man hackar in i någon av de listade kontona. 4chan attackerade mig bara för att de gillar att attackera någon i situationer som detta,” sade han.

Hamade avslöjade att han fick kontinuerliga hot från personer som undersökte det påstådda iCloud-hacket:

” det har varit en mardröm och jag har inte sovit på 34 timmar nu. 4chan användare trakasserar mig med non-stop telefonsamtal och e-post. De maila mig hela tiden, e-post säger att de kommer att hacka mina personliga webbplatser och fortsätta ringa min telefon, ringer mig en fag och sedan hänga upp. De sa också att de skulle hacka min mammas webbplats, så jag tog ner den … jag ångrar det så mycket … jag fick inte ens någon bitcoin ur den. Det är det dummaste jag har gjort och jag hoppas att det inte kommer att förstöra mitt liv, men det kommer förmodligen eftersom det bara är den största nyheten.”

så här säkrar du ditt personliga moln

molnlagringstjänster är mycket populära. Användare och företag lagrar en imponerande mängd data på molnet, och det är viktigt att förstå hur man förbättrar sitt skydd. Låt mig först och främst föreslå att aktivera tvåfaktorautentisering för de tjänster som implementerar den och välja ett starkt lösenord, särskilt när det är det enda skyddet som bevarar våra data.

Apple Media Advisory
sent på tisdag släppte Apple en uppdatering till kändisfotoutredningen. Företaget bekräftade att bilderna stulits från kändisers konton som drabbades av en ”mycket målinriktad attack”, men dess ingenjörer utesluter möjligheten att överträdelsen orsakades av utnyttjandet av eventuella brister i iCloud-arkitekturen eller i Find My iPhone-funktionen:
”efter mer än 40 timmars utredning har vi upptäckt att vissa kändiskonton äventyrades av en mycket målinriktad attack på användarnamn, lösenord och säkerhetsfrågor, en praxis som har blivit alltför vanligt på Internet. Inget av de fall vi har undersökt har resulterat från något brott i något av Apples system, inklusive iCloud eller Hitta min iPhone. Vi fortsätter att arbeta med brottsbekämpning för att identifiera de inblandade brottslingarna. ”säger Apple advisory.

hur väljer jag ett starkt lösenord?

för att komponera svårt att gissa lösenord, låt mig rekommendera:

  • använd långa lösenord (minsta längd på sju tecken, helst mer för att öka styrkan)
  • Använd ett brett spektrum av tecken inklusive A-Z, A-z, 0-9, skiljetecken och symboler, som # $ @, om möjligt
  • som regel försöker du använda minst ett gemener och ett versaler och minst en siffra. Om det är tekniskt möjligt, använd också ett skiljetecken. Detta bidrar till att öka det totala sökutrymmet.
  • använd siffror i stället för bokstäver i vissa fall. Ändra ”i ”med” 1″,” E ”med” 3″,” A ”med” 4 ”(eller@),” S ”med” 5″,” G ”med” 6″,” O ”med”0”. Återigen hjälper detta till att öka sökutrymmet.

Undvik triviala lösenord eftersom de alltid ingår i en lösenordsordlista. Lösenord bör inte innehålla ditt namn eller inloggning/användar-ID. Det är viktigt att skapa komplexa men lätt att komma ihåg lösenord. Anta till exempel att du är ett stort fan av The Simpsons. Ett bra lösenord för din e-post kan vara något i linje med: Ih4teM0ntg0m3ry#Burn5 (om du inte får det betyder det ”jag hatar Montgomery Burns”). Och för Facebook kanske du kan använda B4rT#i5#MY#Fr13nD (”Bart är min vän”, med siffror i stället för bokstäver och varje ord som börjar och slutar i stora bokstäver). Dessa är inte så lätt att gissa av brute force attacker på grund av längden, teckenområdet (stora och små bokstäver, siffror och symboler), och för att veta att du gillar Simpsons betyder det inte att det är lätt att härleda vad du tycker om Simpsons tecken.

När du använder långa uttryck eller fraser som lösenord, försök att använda en enkel teknik för att ersätta en bokstav för en annan bokstav: till exempel ersätta varje bokstav ’a’ med symbolen ’procent’. Detta hjälper till att förhindra mot ordboksattacker samtidigt som det är lätt att komma ihåg din lösenfras.

en annan möjlighet för användare är att anta lösenordshanterare som tillåter användare att också använda komplexa lösenord.

aktivera tvåfaktorsautentisering för Apple iCloud-tjänsten

först och främst logga in på ditt Apple-konto med ditt Apple-ID.

  • välj ”Hantera ditt Apple-ID och logga in ”
  • Välj”lösenord och säkerhet ”
  • under” tvåstegsverifiering”, välj” Kom igång ” och följ instruktionerna.

slutsatser

var medveten om att inte bara kändisar utsätts för sådana risker. Oavsett om du är en chef eller en gemensam individ, är dina data en värdefull råvara i ekosystemet för cyberbrott. Av denna anledning är det viktigt att känna till de viktigaste cyberhoten och de viktigaste begränsningsmetoderna. Detta kan bara vara början. Just nu finns det mycket förvirring om evenemanget, men Infosecs Taylor Swift varnade för att andra kändisar kan ha påverkats:

”_detta är bara början._ Mappar med bilder med miniatyrbilder synliga har visats, många kändisar som ännu inte påverkas vem som kommer.”

Apple berättade för Recode på måndag att det undersökte händelsen för att upptäcka om dessa iCloud-konton verkligen hade hackats och hur.

”Vi tar användarnas integritet väldigt seriöst och undersöker aktivt denna rapport”, säger Apples taleskvinna Natalie Kerris.

håll ögonen öppna för mer information.

http://www.businessinsider.com/4chan-nude-photo-leak-2014-8

http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9

http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/

http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html

http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9

http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/

http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9

Extortion scheme based on ransom request hit Australian Apple Users

http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence

http://pastebin.com/rHSTg6i8

Part 1: Authentication Series – A world of passwords

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *