skip to main | skip to sidebar
12 commenti

Foto celebrità violate, Apple smentisce ipotesi su falla in iCloud

Apple si è fatta attendere un po', ma finalmente ha pubblicato una dichiarazione ufficiale sul furto massiccio di immagini intime di celebrità, a quanto pare prelevate dai loro telefonini (in prevalenza iPhone) tramite i servizi cloud di Apple o di altri fornitori. Molti avevano messo in relazione questo furto e la recentissima pubblicazione e chiusura di una falla di sicurezza in Find my iPhone, ma Apple smentisce questo nesso:

...dopo oltre 40 ore d'indagine, abbiamo scoperto che certi account di celebrità erano stati compromessi da un attacco estremamente mirato sui nomi utente, sulle password e sulle domande di sicurezza, una prassi fin troppo comune su Internet. Nessuno dei casi che abbiamo indagato è stato prodotto da una falla nei sistemi Apple, compresi iCloud® o Find my iPhone.

Apple dice che continua a lavorare con le forze dell'ordine per aiutare a identificare i criminali implicati e consiglia agli utenti, per difendersi da questo tipo di attacco, di usare sempre una password robusta e di attivare la verifica in due passaggi (o autenticazione a due fattori), come descritto qui (in inglese) e qui (in italiano).

Nel frattempo, per i commentatori di questo blog che si chiedevano come mai nelle immagini trafugate non c'erano selfie maschili, Deadspin ha fatto un'analisi delle foto di Justin Verlander, il partner di Kate Upton, il cui account è stato violato. Gli autoscatti di uomini ci sono eccome, nelle collezioni trafugate, e sono anche piuttosto fallocentrici; cosa più importante, quelli analizzati da Deadpsin contengono talmente tanti dati di geolocalizzazione da permettere di tracciare gli spostamenti della coppia.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (12)
A me hanno insegnato che non si chiede all'oste se il vino è buono. Non c'è da qualche parte un'inchiesta _seria_ di terze parti?
Michele,

è difficile che terzi abbiano una visione globale del problema, se non hanno accesso ai server di Apple come ce l'ha invece Apple.

Gli altri possono ragionare soltanto sulla base dei dati conosciuti pubblicamente.

L'FBI è già al lavoro, può darsi che diano qualche dettaglio in più, ma passeranno mesi.
Pare (PARE) che abbiano sfruttato una vulnerabilita' (patchata ieri) di Find My iPhone. Era stata pubblicata poco tempo prima una proof of concept qui https://github.com/hackappcom/ibrute

Vale sempre e comunque il consiglio dell'autenticazione a due fattori per i dati importanti. INCLUSO l'account per amministrare i propri nomi a dominio.

Sembra sia il solito problema di password fragili.
Qualche anno fa ero developer per un gioco online (WOW like). Un giorno facemmo un indagine sulle password (alcuni utenti lamentavano il furto dell'account).
Le password:
123456
password
=nome utente
=nome sito
ammontavano ad oltre il 40%

Mi pare anche i VIP non si sottraggano a queste statistiche.
Quindi non è "colpa" del cloud nemmeno questa volta, ma come sempre degli utonti che usano password semplici.
Il sistema a domande di sicurezza non è da meno, e la doppia autenticaizone scomoda.

Passare a un sistema a token (senza scomodare l'arnese che genera i numeri) in modo che l'identificazione la faccia qualche oggetto fisico?
Dal mio punto di vista il solo fatto di consentire un numero infinito di tentativi è di per sé una falla (e pure grave). Tant'è che sono subito corsi a correggerla e hanno pure avuto la faccia tosta di chiamarsi fuori e incollare gli utenti.
Dal mio punto di vista il solo fatto di consentire un numero infinito di tentativi è di per sé una falla (e pure grave). Tant'è che sono subito corsi a correggerla e hanno pure avuto la faccia tosta di chiamarsi fuori e incollare gli utenti.
Riepilogando: non si sa come ci siano riusciti, ma si sa con certezza che "Find My iPhone" consentiva di effettuare un numero infinito di tentativi di accesso. Da informatico posso affermare senza dubbio che la Apple è la vergogna di tutti coloro che si occupano di sicurezza in questo ambito, senza se e senza ma.
La logica porta a pensare che quella fosse una buona via di accesso per rubare foto, video e dati (i dati potrebbe essere serviti a rubare ulteriori foto / video).
@Il Lupo della Luna: non ne abbiamo la certezza, ma c'è un'elevata probabilità che la colpa sia di un sistema cloud particolarmente insicuro. E, ovviamente, se le foto non fossero state caricate sul cloud i cracker avrebbero dovuto usare sistemi ben più complessi per effettuare il furto.
@CPaolo79
Da informatico posso affermare senza dubbio che la Apple è la vergogna di tutti coloro che si occupano di sicurezza in questo ambito, senza se e senza ma.

Secondo me Apple, e non solo, utilizzano una sicurezza a "due marce".
Quella per i suoi sitemi "core", se si può dire così, è valida. Infatti, almeno recentemente, non mi risulta che siano uscite notizie riservate dai server Apple.
Quella per i consumatori lo è meno.

Secondo me, ciò accade perché si fanno ragionamenti del tipo:" perché devo sprecare soldi per impostare sicurezze elevate se poi gli utenti usano "12345" come password?"
A questo si deve aggiungere che la maggior parte degli utenti non vuole procedure di autenticazione complicate. Anzi, più sono complicate le procedure più alto è il rischio di perdermi utenti e soldi.

Non so se sei un informatico che ha a che fare direttamente con l'utenza, ma se hai esperienza in ciò, hai notato quanta gente memorizza le proprie password direttamente nel browser?
Sempre quando non la mette col post-it attacata al monitor, o sotto la tastiera, attaccata col il nastro adesivo.
Una volta è anche successo che un tecnico ha portato via una tastiera perché rotta...
>Dal mio punto di vista il solo fatto di consentire un numero infinito di tentativi è di per sé una falla (e pure grave)


Quoto
"non mi risulta che siano uscite notizie riservate dai server Apple." beh non dimenticare che se sono uscite non stanno sicuramente su /b/ di 4chan ma da qualche parte in darknet, visto che del sorgente del nuovo OSX frega poco al grande pubblico che cerca i porno....