Michal Ždanský Despois de varios días de investigación interna de Apple, a compañía emitiu un comunicado ao respecto piratear contas de iCloud dalgúns famosos, cuxas delicadas fotos se filtraron ao público. Segundo Apple, as fotos non se filtraron ao piratear os servizos de iCloud e Find My iPhone, xa que da forma en que os piratas informáticos obtiveron as fotos, os enxeñeiros da compañía californiana determinaron un ataque dirixido a nomes de usuario, contrasinais e preguntas de seguridade. Non obstante, non comentaron como se obtiveron as fotos de iCloud.
Segundo Wired, os contrasinais foron crackeados mediante software forense utilizado polas axencias gobernamentais. No taboleiro de anuncios Anon-IB, onde apareceron varias fotos de famosos, algúns membros discutían abertamente sobre o uso do software en nome de ElcomSoft Phone Breaker contrasinais. Isto permítelle introducir os nomes de usuario e contrasinais obtidos para recuperar todos os ficheiros de copia de seguridade do iPhone e iPad. Segundo un experto en seguridade entrevistado por Wired, os metadatos das fotos coinciden co uso do devandito software.
Os piratas informáticos só tiñan que obter nomes de usuario (ID de Apple) e contrasinais, o que conseguiron probablemente grazas ao método mencionado anteriormente mediante o programa. iBrute xunto coa vulnerabilidade Find My iPhone, que permitía aos atacantes adiviñar o contrasinal sen limitar o número de intentos. Apple parcheou a vulnerabilidade pouco despois de ser descuberta. O feito de que as vítimas do ataque de hackers non utilizasen a verificación en dous pasos, que require introducir un código enviado ao teléfono, tamén xogou un papel importante. Nótese que a verificación en dous pasos non se aplica aos servizos de copia de seguridade de iCloud e Photo Stream, pero, en primeiro lugar, farían moito máis difícil obter contrasinais de nome de usuario.
Non obstante, mesmo coa verificación en dous pasos, iCloud non está protexido idealmente. Segundo descubriu Michael Rose do servidor TUAW, ao sincronizar Photo Stream, copia de seguranza de Safari e mensaxes de correo electrónico cun novo ordenador Apple, non se avisa ao usuario de que se accedeu aos datos desde o novo ordenador. Só co coñecemento do ID de Apple e do contrasinal foi posible descargar o contido mencionado sen o coñecemento do usuario. Como podes ver, os servizos na nube de Apple aínda teñen algunhas fallas, aínda que o usuario estea protexido pola verificación en dous pasos, que, por certo, aínda non está dispoñible en, por exemplo, a República Checa ou Eslovaquia. Despois de todo, tras este asunto, as accións de Apple caeron un catro por cento.
Non crerías como un par de famosos cun contrasinal demente sinxelo e fotos porno no seu teléfono poden mover as accións dunha empresa tan grande :)
Teñen unha parte integral no feito de que os usuarios perderon datos e bastante privacidade, polo que neste caso está perfectamente que caian as accións. Polo menos é aprender a prestarlle atención á seguridade e os usuarios polo menos pareceremos estar ben ;-).
Entón, os contrasinais foron crackeados usando o programa iBrute, que usa un método de proba/erro para probar todos os contrasinais de uso frecuente segundo algún dicionario. O punto débil era que as vítimas tiñan un dicionario ou un contrasinal débil e Apple non bloqueou este método (por exemplo, limitando o número de intentos errados por minuto) en Find My Phone (agora corrixido). Unha vez que tiñan os contrasinais, podían facer o que quixesen. Pero para non revelar información sobre o rexistro doutro dispositivo co mesmo ID de Apple, descargaron unha copia de seguridade completa do iPhone desde iCloud mediante o programa EPPB e extraeron fotos da copia de seguridade mediante ese programa. Conclusión: un bo contrasinal é simplemente imprescindible.
Non me estrañaría que tamén fose unha mudanza de pago. botando tanta sucidade como sexa posible ao xigante de Apple uns días antes da presentación de cousas súper novas. Tamén é un dos posibles escenarios de como puido ser. Para que unha persoa se entusiasme coas accións hoxe, todo o que tes que facer é darse conta do sensible que é. Pero ao que sexa o mellor sempre lle botará unha volta, non cambiará.
Teñen unha parte integral no feito de que os usuarios perderon datos e bastante privacidade, polo que neste caso está perfectamente que caian as accións. Polo menos é aprender a prestarlle atención á seguridade e os usuarios polo menos pareceremos estar ben ;-).
Por suposto, Apple nunca paga por nada. Deixe de defender o concello a toda costa. Xa dá vergoña. Acaban de compartilo
Hoxe recibín un correo electrónico de "checkauth@apple.com". Parece exactamente como Apple, e di que unha aplicación que nin sequera uso foi descargada da miña conta. Cando fun cambiar o meu contrasinal, redirixiume a unha páxina que parece Apple.com, pero o enderezo URL é claramente diferente.