¿La falla de iCloud condujo al pirateo de fotos de celebridades?

Una falla en el servicio “Buscar mi iPhone” de Apple podría haber estado detrás de un ataque que llevó a que las cuentas de iCloud de cientos de celebridades se vieran comprometidas.

Un script Python de prueba de concepto desarrollado por HackApp por fuerza bruta, iCloud había estado circulando en línea durante varios días antes de que aparecieran en línea fotos desnudas de 17 mujeres famosas, incluida la actriz de Los Juegos del Hambre, Jennifer Lawrence, y la actriz principal de Scott Pilgrim, Mary E Winstead, aparentemente robadas de sus cuentas de iCloud.

El hacker afirmó tener fotos de más de 100 celebridades femeninas en total.

Aparentemente, el código permite a los atacantes adivinar contraseñas repetidamente a través de Find My iPhone sin activar un bloqueo o alertar al objetivo.
Una vez descubierta la contraseña, el atacante podría utilizarla para acceder a otras áreas de iCloud.

Desde entonces, Apple ha reparado el agujero, aunque hay afirmaciones que se hacen en Reddit que el parche solo está activo en ciertas regiones.

Sin embargo, el investigador de seguridad Graham Cluley ha afirmado que es “difícil de creer que esto podría haberse utilizado con éxito contra una gran cantidad de cuentas sin detección en un corto espacio de tiempo”.

Otra opción presentada por Cluley y otros investigadores es que las víctimas del ataque tenían una contraseña fácil de adivinar o respuestas para restablecer la contraseña.

“Muchos sitios le dan la opción de ‘olvidó su contraseña’, o le piden que pase por el aro respondiendo ‘preguntas secretas’ para probar su identidad”, dijo Cluley.

“Sin embargo, en el caso de una celebridad, puede ser particularmente fácil determinar el nombre de su primera mascota o el apellido de soltera de su madre con una simple búsqueda en Google”, agregó.

Rik Ferguson, investigador de seguridad de Trend Micro, También dijo “Es poco probable que se produzca un ‘hackeo’ a gran escala de iCloud de Apple”, señalando que incluso el cartel original no había afirmado que ese fuera el caso.

Él, como Cluley, sugirió que el atacante podría haber usado el enlace “Olvidé mi contraseña” si ya sabía y tenía acceso a las direcciones de correo electrónico que las víctimas estaban usando para iCloud. También sugirió que las celebridades en cuestión podrían haber sido víctimas de un ataque de phishing.

Reacción de Twitter y amenazas legales

Si bien las fotos se filtraron inicialmente en 4chan, no pasó mucho tiempo antes de que las fotos de Jennifer Lawrence en particular comenzaran a aparecer en Twitter.

En unas dos horas, Twitter había comenzado a suspender todas las cuentas que habían publicado cualquiera de las fotos robadas, pero según una línea de tiempo de The Mirrorla red social estaba jugando un juego de “golpear un topo”, y continuaron apareciendo nuevas imágenes durante más de una hora después de que comenzó a actuar.

Mary E Winstead recurrió a Twitter para llamar tanto a la persona que publicó las imágenes como a quienes las estaban mirando.

Para aquellos de ustedes que miran fotos que tomé con mi esposo hace años en la privacidad de nuestra casa, espero que se sientan bien con ustedes mismos.

— María E. Winstead (@M_E_Winstead) 31 de agosto de 2014

Sin embargo, finalmente tuvo que retirarse de la plataforma para alejarse de los mensajes abusivos que estaba recibiendo.

Ir a un descanso de Internet. Siéntase libre de mis @’s para un vistazo de lo que es ser una mujer que habla sobre cualquier cosa en Twitter.

— María E. Winstead (@M_E_Winstead) 1 de septiembre de 2014

El portavoz de Jennifer Lawrence ya ha dicho que emprenderán acciones legales contra cualquiera que distribuya las fotos.

“Esta es una violación flagrante de la privacidad. Las autoridades han sido contactadas y procesarán a cualquiera que publique las fotos robadas de Jennifer Lawrence”, dijeron.

En 2011, se tomó una acción similar cuando se piratearon los correos electrónicos de 50 celebridades, incluidas Scarlett Johansson y Christina Aguilera, y se robaron fotos de desnudos y se difundieron públicamente.

Luego de una investigación del FBI, el perpetrador, Christopher Chaney de Jacksonville, Florida, fue sentenciado a diez años de cárcel.

Contramedidas de seguridad

Si bien es menos probable que las personas que no son celebridades tengan sus fotos de desnudos tan ampliamente distribuidas como las de una persona famosa, puede suceder y aún sucede.

Los especialistas en seguridad han dicho que este incidente debería servir como un recordatorio de la importancia de contar con medidas de seguridad efectivas para cualquier servicio en línea y alentar a los usuarios a tener en cuenta lo que se carga en la nube.

“Dado que los dispositivos actuales están muy interesados ​​en enviar datos a sus respectivos servicios en la nube, las personas deben tener cuidado de que los medios confidenciales no se carguen automáticamente en la web u otros dispositivos emparejados”, dijo a PC Chris Boyd, analista de inteligencia de malware en Malwarebytes. Pro.

Ferguson sugirió que era posible que las personas que habían sido víctimas del ataque se hubieran olvidado o no se hubieran dado cuenta de que Apple sincroniza las fotos en el iPhone o iPad Photo Stream de un usuario automáticamente con su iCloud.

“En este caso, parece que algunas de las víctimas pueden haber creído que borrar las fotos de sus teléfonos era suficiente”, dijo.

Tanto Boyd como Ferguson recomiendan averiguar si se toman copias de seguridad o “instantáneas” de los datos almacenados en un servicio en la nube y cómo se pueden administrar.

Stefano Ortolani, investigador de seguridad de Kaspersky Lab, también sugirió que los usuarios deberían “elegir” qué datos se almacenan en la nube y desactivar la sincronización automática.

“También se podría argumentar que los teléfonos inteligentes, que están continuamente conectados a Internet, no son el mejor lugar para tomar fotos de desnudos”, dijo Boyd, un sentimiento compartido por Cluley y Ferguson.

PC Pro se puso en contacto con Apple para preguntar si la empresa estaba al tanto de un ataque a gran escala de su servicio iCloud, pero no había recibido una respuesta en el momento de la publicación.