Posible metodo que usaron para conseguir fotos de famosas en iCloud


Hace unas horas les comentamos acerca la supuesta vulnerabilidad de iCloud que habría permitido conseguir fotos comprometidas de celebridades. Como les contamos iCloud como servicio no se ha visto comprometido, pero hace dos días alguien publicó en Github un scriptque permite probar en Buscar mi iPhone varias contraseñas habitualmente utilizadas en otros servicios. Utiliza un diccionario de contraseñas utilizadas habitualmente y lo único que hace es probar una, probar otra, y luego otras y así continuamente, durante horas y con miles de intentos, hasta que una consigue entrar. Este tipo de ataques se llaman de fuerza bruta porque más que una vulnerabilidad, lo que intentan es automatizar un proceso tedioso de manera que sólo sea cuestión de tiempo dar con una clave que permita entrar.

Qfhbjr41

Es por esta razón que es muy importante tener un contraseña única en cada servicio, que sea relativamente complicada, o mejor aún, habilitar la verificación de seguridad en dos pasos, que obliga a teclear un código único y de un sólo uso enviado a nuestro iPhone cuando alguien intenta entrar a nuestra cuenta desde una máquina que antes nunca haya sido utilizada en ella.

En cualquier caso, y volviendo a iCloud, parece ser que esas fotos de celebridades fueron conseguidas utilizando este script, aunque no se ha podido confirmar que así sea. Simplemente es una coincidencia muy significativa que este sistema para atacar Buscar mi iPhone aparezca dos días antes de darse esta noticia. El problema se da porque generalmente cuando un mismo equipo intenta probar muchas contraseñas en una web, un sistema automático lo bloquea durante horas o días, de manera que volver a intentarlo con todas las contraseñas del diccionario tarde algo así como cientos de años. Por lo visto, hasta hoy, Buscar mi iPhone no bloqueaba intentos consecutivos fallidos para entrar en una cuenta.

Screen-Shot-2014-09-02-at-12.40.16-am

A partir de hoy, si alguien intenta entrar en Buscar mi iPhone y la contraseña falla varias veces, la cuenta en cuestión se bloquea temporalmente y obliga a configurar una nueva clave utilizando las preguntas secretas o la verificación en dos pasos, en el servicio de contraseñas olvidadas que Apple ofrece.

cuentadesactivada

Lo que ha podido pasar en el tema de las celebridades es que se haya conseguido acceso a una de las cuentas gracias a una contraseña demasiado fácil, y luego se han encontrado en ella las direcciones de email de otras celebridades, en las que se ha probado de nuevo el diccionario de contraseñas de ese script y así, poco a poco, han podido, quizás, conseguir esas fotos. Es sólo una suposición porque no hay nada confirmado y nadie ha dicho que lo haya hecho, pero ahora mismo es la única posibilidad que existe en cuanto a la manera de conseguir esas imágenes.

Previous Apple podría estar llegando a acuerdos con Visa, Master Card y American Express para su sistema de pagos
Next iPhone 6 saldra a la venta el 19 de Septiembre según varias Telefonicas