Tecnologia

Hack do iCloud: O que aconteceu e como se proteger

fotos iCloud

Fonte: Apple.com

No fim de semana, inúmeras imagens nuas supostamente de celebridades da lista A foram supostamente roubadas de contas do iCloud e distribuídas pela Internet. Então, como alguém conseguiu obter acesso às contas no serviço de armazenamento em nuvem da Apple e o que você pode fazer para proteger seus próprios arquivos de uma violação semelhante?

O Wall Street Journal's Daisuke Wakabayashi relata que a Apple é “ investigando ativamente ”Relata que vulnerabilidades do iCloud foram exploradas para hackear contas de várias celebridades. Fotos e vídeos de nudez, alguns autênticos e alguns possivelmente falsos, foram supostamente roubados das contas do iCloud de celebridades, incluindo a atriz Jennifer Lawrence e a modelo Kate Upton, e postados na comunidade de compartilhamento de imagens 4chan. De lá, eles se espalharam para o Twitter, Reddit, Imgur e outros sites, muitos dos quais fecharam os tópicos e contas onde as imagens foram postadas.



filhos da anarquia baseados em histórias verdadeiras

Da Apple iCloud permite que os usuários armazenem músicas, fotos, documentos e outros arquivos no iCloud e os acessem de uma variedade de dispositivos. Em uma postagem no GitHub, um usuário detalhou um bug descoberto no serviço Find My iPhone da Apple - um recurso do iCloud que permite aos usuários descobrir a localização de um iPhone perdido - que permitiu a um hacker fazer um número ilimitado de suposições sobre uma senha do iCloud até identificar o certo. A postagem no GitHub também incluiu um script Python chamado “ibrute” que permitia aos usuários realizar os chamados ataques de “força bruta” para obter acesso a contas no iCloud por meio da vulnerabilidade Find My iPhone.

Os ataques de força bruta usam um script para adivinhar repetidamente a senha de uma conta e, uma vez que a senha foi descoberta, o hacker pode usá-la para acessar outras funcionalidades do iCloud. A ferramenta ibrute se baseia em uma lista de 500 senhas comuns (e, portanto, depende dos titulares de contas do iCloud que usam senhas fáceis de adivinhar).

The Next Web relata que os usuários do Twitter puderam usar a ferramenta, que foi publicada por dois dias antes de ser compartilhada com HackerNews , para acessar suas próprias contas . A postagem no GitHub foi atualizada na segunda-feira com a mensagem: “Fim da diversão, a Apple acabou de fazer o patch.” Ao testar a ferramenta, The Next Web descobriram que a Apple bloqueou a conta após cinco tentativas, o que significa que o script Python tenta atacar o serviço, mas a Apple de fato corrigiu a vulnerabilidade.

A vulnerabilidade do Find My iPhone que permitia suposições ilimitadas representa um desvio das políticas da maioria dos serviços, que bloqueiam uma conta após uma série de tentativas de senha incorreta. Equipe de The Next Web conversou com o criador do script Python, conhecido como “Hackapp”, via Twitter. ( Re / Código relata que o iBrute foi criado por pesquisadores de segurança russos como uma prova de conceito e demonstrado em uma conferência de segurança neste verão.) The Next Web perguntou se a ferramenta poderia ter sido usada para hackear contas de celebridades. Quem está por trás da conta do Hackapp no ​​Twitter respondeu: “Não vi nenhuma evidência ainda, mas admito que alguém poderia usar essa ferramenta”.

quando surge a nova anatomia do cinza

Embora a Apple não tenha dito nada sobre como o hackeamento de contas de celebridades foi realizado, disse o analista e presidente-executivo da Securosis, Rich Mogull O Wall Street Journal que é possível que o hacking e a vulnerabilidade exposta no GitHub estivessem relacionados. Ele também diz que é muito mais provável que hackers invadam contas individuais de celebridades em vez de hackear o sistema iCloud. Mogull disse: “Eu ficaria chocado que a própria Apple foi hackeada”.

Independentemente de saber se o script iBrute foi usado no vazamento, os pesquisadores da empresa de segurança FireEye disseram Re / Code’s Arik Hesseldahl disse que o hacking parece ter sido um ataque direto que poderia ter sido evitado . Especificamente, o hacking poderia ter sido evitado se as celebridades afetadas tivessem habilitado um recurso de segurança chamado autenticação de dois fatores em suas contas do iCloud.

A autenticação de dois fatores, ou “verificação em duas etapas”, como a Apple chama sua versão, requer duas etapas para verificar a identidade de um usuário que tenta acessar um computador ou serviço, mesmo quando esse usuário sabe a senha da conta. No caso do iCloud, ativar a verificação em duas etapas exigirá que o usuário insira um código numérico enviado para seu telefone ou outro dispositivo para verificar sua identidade, além de inserir sua senha normal. Como o código muda constantemente, permitir a verificação em duas etapas torna significativamente mais difícil para um hacker obter acesso a uma conta.

Embora a Apple 'não trabalhe muito', como Re / Código coloca, para informar os usuários sobre a disponibilidade de recursos de segurança, como a verificação em duas etapas, uma página em seu site de suporte explica o processo de habilitando o recurso para um ID Apple. Para ativar a verificação em duas etapas, siga estas etapas:

chances de ganhar a casa dos sonhos hgtv
  1. Vamos para Meu ID Apple .
  2. Selecione “Gerenciar seu ID Apple” e faça login.
  3. Selecione “Senha e segurança”.
  4. Em “Verificação em duas etapas”, selecione “Primeiros passos” e siga as instruções.
Verificação em duas etapas da Apple

Fonte: Support.apple.com

Ao configurar a verificação em duas etapas, os usuários registram um ou mais dispositivos nos quais podem receber códigos de verificação de quatro dígitos por meio de mensagens SMS ou do serviço Find My iPhone. (A Apple exige que os usuários forneçam pelo menos um número de telefone compatível com SMS.) Depois de ativar o recurso, os usuários serão solicitados a verificar sua identidade sempre que fizerem login para gerenciar seu ID Apple ou criar um iTunes, App Store ou iBooks Armazene a compra de um novo dispositivo, digitando sua senha e um código de verificação de quatro dígitos. Sem a senha e o código de verificação, os usuários não poderão acessar suas contas.

É importante notar que, embora tirar proveito dos recursos de segurança disponíveis para proteger seus arquivos e contas seja sempre uma boa ideia, o hack também é um conto de advertência sobre o uso de senhas incorretas. Se o hack foi executado usando o script ibrute Python, cada uma das celebridades cujos relatos foram expostos estava usando uma das 500 senhas comuns e fáceis de adivinhar que a ferramenta tenta. (Portanto, se sua senha for “senha” ou “123456”, aqui está outro caso para escolher algo que será mais difícil para um computador descobrir.) Mesmo se alguém conseguir adivinhar sua senha, a ativação da verificação em duas etapas continuará sua conta e arquivos mais seguros, já que um hacker não conseguirá acessar seus e-mails ou mensagens de texto.

O resultado é que é importante proteger seus dados com uma senha forte e segura que não seja fácil para um script adivinhar e que, se você estiver usando um serviço de nuvem para armazenar arquivos valiosos, é do seu interesse usar autenticação em duas etapas para manter sua conta o mais segura possível. Também é inteligente habilitar senhas e senhas em seu telefone e computador e, claro, certificar-se de que todo o seu software seja atualizado. Cada uma dessas medidas manterá suas contas mais seguras e lhe dará um pouco mais de tranquilidade, pois todos os arquivos que você carregar no iCloud estarão protegidos de olhares indiscretos.

Mais da Folha de Dicas de Tecnologia:

  • 7 rumores da Apple na semana passada: iPhone, iPad, MacBook e mais
  • 15 aplicativos e gadgets incríveis que você pode ter perdido na semana passada
  • Não perca os 5 maiores rumores de videogame da semana passada