iCloud-bruteforce-cover

Így lopták el a celebek fényképeit az iCloud fiókjukból.

#HÍREK
2014. 09. 01.

Rihanna, Hilary Duff és Selena Gomez is szerepel azon hírességek listáján, akikről egy hacker állítása szerint kompromitáló felvételeket szerzett az iCloud fiókjuk feltörésével. A felvételek egy részét fel is töltötte a 4chan internetes fórumra némi pénz reményében.

Vasárnap éjszaka futótűzként terjedt a külföldi sajtóban a hír, miszerint száznál is több híresség szexuális tartalmú, privát fotói és videói kerültek illetéktelen kézbe. A 4chan internetes fórum felhasználói természetesen azonnal szétcincálták a fényképek tulajdonosait, rövidesen twitterre és tumblr-re is kikerült a felvételek egy része.

Az ügy súlyát jól mutatja, hogy több híresség is azonnal reagált a hírekre személyesen vagy közvetve, egyesek tagadják a felvételek hitelességét, Jennifer Lawrence viszont megerősítette: a kiszivárgott képek valóban róla készültek.

A 4chan felhasználó hacker állítása szerint az iCloud szolgáltatás kijátszásával tett szert a személyes felvételekre, így természetesen megpróbáltuk kitalálni, mi lehetett a forgatókönyve.

Az úgynevezett brute-force támadás lényege, hogy egy felhasználói fiókba folyamatos ismételt próbálkozással szisztematikusan addig próbálgatjuk a valószínű jelszavakat, amíg egyszer csak rá nem hibázik a program a megfelelőre. Az ilyen támadások ellen nyújt védelmet a jelszó próbálkozások korlátozása, ami az iCloud rendszerben is be van állítva. Azonban ez a védelem a Find My iPhone funkcióra nem volt élesítve, és úgy látszik, ezt használta ki a botrányt kirobbantó hacker is.

A GitHub közkedvelt programmegosztó oldalon szombat óta elérhető egy apró program, aminek segítségével bárki könnyedén megpróbálhatott feltörni egy általa ismert Apple ID-t. Az Apple azóta aktiválta a brute-force védelmet a Find My iPhone szolgáltatásnál is, így már nem működik az iBrute nevű hacker eszköz sem.

Fontos megjegyezni, hogy a brute-force támadás csak az olyan primitív, gyakran használt jelszavak esetében hoz sikert, mint a Password1, a Princess1 és társai. Nagyon fontos, hogy egyik fiókunkhoz se ilyen könnyen kikövetkeztethető jelszót adjunk, és lehetőleg minden fiókunkhoz más erős jelszót használjunk.

jelszo

Mivel az Apple ID és a jelszó ismeretében hozzáférhető az adott felhasználó telefonkönyve is, valószínűleg elég volt egyetlen sebezhető e-mail címet megtalálni, és máris rengeteg híresség e-mail címe ismertté vált.

Miután a hírességek egy része beismerte, hogy a fotók hitelesek, és az Apple szinte azonnal aktiválta a brute-force védelmet a Find My iPhone részlegen is, nehéz volna azt feltételezni, hogy nem az Apple iCloud szolgáltatásában megbúvó biztonsági rés vezetett a felvételek eltulajdonításához, ennek ellenére a felhasználók hibája is közrejátszott, amiért nem használtak megfelelően erős jelszavakat.

Tanulság:

1. Feltörhetetlen rendszer nincs.

2. Ne készíts magadról kompromitáló fotókat vagy videókat a telefonoddal.

3. Ha már mégis készítesz ilyesmit, ebben az esetben használj jó erős jelszavakat.

Például ilyet: breathalyzer333291)hydrazin3

Az Apple egyelőre nem kommentálta a történteket.

ibrute_readme