Нажмите "Enter" для пропуска содержимого

Знаменитости icloud: iCloud ни при чем, знаменитости пали жертвой направленных атак / Хабр

Содержание

iCloud ни при чем, знаменитости пали жертвой направленных атак / Хабр

Компания Apple

опубликовала

подробности расследования нашумевшего инцидента с

кражей

персональных снимков с iDevice устройств знаменитостей. По информации специалистов компании, знаменитости пали жертвой т. н. направленных атак, которые связаны с фишинговыми сообщениями. При таком сценарии злоумышленник отправляет специальное электронное письмо на почтовый адрес жертвы и предлагает ей сообщить пароль Apple ID, который затем используется для доступа к аккаунту. Подобные письма могут содержать разнообразные темы для обмана пользователей. Речь идет также о том, что злоумышленники не использовали инструмент типа iBrute для эксплуатации уязвимости в сервисе через API «Найти iPhone» (уязвимость закрыта). iBrute использует перебор возможных комбинаций паролей (brute force). Между тем выясняется, что с безопасностью сервисов у Apple вскрываются новые проблемы.

В качестве дополнительной меры безопасности для защиты своего аккаунта Apple рекомендует использовать двухфакторную аутентификацию 2FA (совсем недавно появилась для российских пользователей). 2FA использует специальное подтверждение на доступ к аккаунту (напр. SMS-сообщение) даже в том случае, если пользователю или злоумышленнику известны логин и пароль от аккаунта. Но 2FA имеет существенный недочет и не защищает т. н. «фотопоток», т. е. злоумышленник может получить доступ к приватным фотографиям пользователя с включенным 2FA имея на руках логин и пароль Apple ID. Кроме этого, 2FA также не способна защитить резервные копии (backups) устройства (хранящиеся в iCloud), из которого злоумышленники могут извлечь всю доступную информацию устройства, которая ранее архивировалась с него.


Рис. Слайд презентации специалистов Elcomsoft на конференции Hack In The Box. 2FA не защищает доступ к некоторым важным данным облака.

Один из специалистов по криминалистике, который исследовал метаданные украденных фото Кейт Аптон заявил, что злоумышленники могли получить доступ к резервным копиям устройства, которые хранятся в iCloud, а затем уже оттуда получить снимки. Для этого мог использоваться специальный инструмент, позволяющий проводить такую операцию.

If a hacker can obtain a user’s iCloud username and password with iBrute, he or she can log in to the victim’s iCloud.com account to steal photos. But if attackers instead impersonate the user’s device with Elcomsoft’s tool, the desktop application allows them to download the entire iPhone or iPad backup as a single folder

Откровенные фото Дженнифер Лоуренс и еще десятков знаменитостей утекли через iCloud

Личные фото некоторых знаменитостей, включая Дженнифер Лоуренс, Кейт Аптон и Ариана Гранде были опубликованы анонимным хакером на сайте

4Chan

. Судя по всему, утечки стали возможными благодаря взлому аккаунтов от облачного хранилища Apple iCloud, в которое автоматически копируется информация со всех устройств Apple, о чем большинство пользователей даже не задумываются.

Пока речь не идет о какой-то глобальной уязвимости в сервисе, возможно, девушки стали жертвами целевых атак и каждый аккаунт был скомпрометирован отдельно, а информация накапливалась в течение продолжительного времени.

Пресс-секретарь Дженнифер Лоуренс сделал заявление, подтверждающее, что фотографии являются подлинными:

Мэри Элизабет Уинстэд также подтвердила подлинность фотографий:


А вот Виктория Джастис утверждает, что снимки поддельные:

Жизнерадостный комментарий от Бекки Тобин:

Кирстен Данст тоже не унывает:

Список актрис, который был опубликован на 4Chan:

Jennifer Lawrence, Aly and AJ Michalka, Aubrey Plaza, Abby Elliott, Avril Lavigne, Amber Heard, Brie Larson, Candice Swanepoel, Cara Delevigne, Emily Ratjakowski, Farrah Abraham, Gabrielle Union, Hayden Pannettiere, Hope Solo, Hillary Duff, Jenny McCarthy, Kayley Cuoco, Kate Upton, Kate Bosworth, Keke Palmer, Kim Kardashian, Kirsten Dunst, Krysten Ritter, Lea Michele, Lizzy Caplan, Mary Kate Olsen, Mary Elizabeth Winstead, Rihanna, Scarlet Johansson, Selena Gomez, Vanessa Hudgens, Wynona Ryder, Alison Brie and Dave Franco.

Предположительно полный список жертв утечки

Возможно, что брутфорса паролей к appleID был использован недавно разработанный инструмент

ibrute

, основанный на уязвимости API сервиса Find My Iphone (на данный момент уязвимость

устранена

). Сама компания Apple пока никак не прокомментировала данную ситуацию.

В 2011 году во Флориде 36-летний Кристофер Чейни был арестован после того, как взломал учетные записи электронной почты Скарлетт Йоханссон и 49 других знаменитостей, в результате он был осужден на 10 лет тюрьмы.

Совсем недавно активисты из группировки Shaltay Boltay похитили данные с двух iPhone Дмитрия Медведева, включая фотографии, СМС и данные приложений. Учитывая ограниченный доступ к телу премьера, специалисты сходятся во мнении, что эта утечка также произошла через облако Apple iCloud.

Слив с icloud | Картинки.net

Джессика Браун-Финдли — украденные фото и видео

Джессика Браун-Финдли (Jessica Brown-Findlay) — британская актриса, получившая известность после исполнения роли леди Сибил…