Stulna bilder får kändisar att rasa

Tråden skapades och har fått 46 svar. Det senaste inlägget skrevs .

Bilder på ett flertal kändisar har läckt ut på internet efter vad som verkar vara en attack mot en molntjänst.

Läs hela artikeln här

  • Medlem
  • Lund
  • 2014-09-01 19:16

Med tanke på lösenords-scriptet som släpptes någon dag innan och att Apple åtgärdade just det hålet kort efter att det blev en världsnyhet så tror jag att vi kan slå fast att det är iCloud som blivit drabbat. Det öppnar naturligt för viktiga frågor.

Hur kan man inte lägga in en sådan självklar sak som skydd mot bruteforce?
Hur kommer det sig att 'raderade' bilder fortfarande lagras av Apple?

Har man möjligtvis tappat synkroniseringen och därmed bara raderat dem lokalt?

Varför har ingen av alla dessa drabbade ens berättat VILKEN tjänst som hackats? Varför kritiserar ingen av dessa drabbade denna tjänst?
Föreställ er att en massa kunder förlorar pengar från sina bankkonton - alla har Swedbank. Dom berättar att deras konton länsats, men INGEN säger vilken bank det gäller!
Vad har jag missat?

OM det är iCloud som hackats och någon har kunnat plocka bilder från folks synk/delade bilder så är detta en gigantiska säkerhetsskandal. Det skulle vara ett fruktansvärt dråpslag på förtroendet för Apple och definitivt skada varumärket. Apple har senaste åren aldrig missat ett tillfälle att köra sitt mantra; säkerhet, integritet, kryptering...

Jag kan inte tro detta, det är något annat som hänt. Alla kort är inte på bordet ännu.

Ursprungligen av Demiurgen:

Vad har jag missat?

https://github.com/hackappcom/ibrute

http://www.engadget.com/2014/09/01/find-my-ip...
http://www.cbsnews.com/news/apple-patches-icl...

Eller så är det så här.

Svaret lär komma så småningom.

Tack. Men detta svarar ju inte på frågan varför ingen av dom drabbade har berättat vilken tjänst det gäller. Det är ju superskumt...helsjukt...betydligt konstigare än att en molntjänst blir hackad.

  • Medlem
  • Lund
  • 2014-09-02 00:32
Ursprungligen av Demiurgen:

Varför har ingen av alla dessa drabbade ens berättat VILKEN tjänst som hackats? Varför kritiserar ingen av dessa drabbade denna tjänst?

Ursprungligen av Demiurgen:

Tack. Men detta svarar ju inte på frågan varför ingen av dom drabbade har berättat vilken tjänst det gäller. Det är ju superskumt...helsjukt...betydligt konstigare än att en molntjänst blir hackad.

Sannolikt för att det är allvarliga anklagelser när man inte har några självklara bevis.

Har dock börjat ske: https://twitter.com/kirstendunst/status/50655...

Ursprungligen av Demiurgen:

Tack. Men detta svarar ju inte på frågan varför ingen av dom drabbade har berättat vilken tjänst det gäller. Det är ju superskumt...helsjukt...betydligt konstigare än att en molntjänst blir hackad.

De har blivit utsatta för ett brott. Varför förefaller du att vara mer upprörd över att de inte berättar var de har haft sina fotografier än över det faktum att ett svin bröt sig in och offentliggör deras privata egendom?

Det är skurkarna som vi ska ansätta, inte offren.

  • Medlem
  • White Beach, Puerto Galera
  • 2014-09-02 07:07

Nu har Apple uttalat sig om händelsen enligt Metro.

"Användarnas rätt till privatliv är mycket viktig för oss, och vi utreder aktivt dessa uppgifter", citerar tekniksajter i USA Apples taleskvinna Natalie Kerris.

Metro

  • Medlem
  • Kungälv
  • 2014-09-02 10:40
Ursprungligen av Demiurgen:

Tack. Men detta svarar ju inte på frågan varför ingen av dom drabbade har berättat vilken tjänst det gäller. Det är ju superskumt...helsjukt...betydligt konstigare än att en molntjänst blir hackad.

De kanske inte vet?
Mina bilder går till dropbox, box.net och google utöver icloud.

något långsökt - tror nog det är sällsynt att man har en sådan lösning
Jag är övertygad om att alla, någon, några av de drabbade bara hade bilderna iCloud-synkade - dom märker att bilder läckt och dom vet givetvis var dom har/haft bilderna - det handlar om iPhones, klick klick klick klick klick och allt åker upp i molnet hos Apple. För mig är det fortfarande mycket förvirrande och skumt att ingen av dom drabbade talat om att deras bilder på iCloud har tjuvats av någon - dom säger systematiskt bara att bilder har tjuvats. Några är säkert så där otroligt ovetande om hur saker och ting funkar så att dom inte kan lägga ihop denna extremt lätta 2 + 2 grej, men alla som drabbats kan ju inte vara så ignoranta om moln-systemet? Eller? Tror dom att någon sugit ur bilderna från deras iPhone? Eller så har dom de facto sagt var bilderna var när dom snoddes...men denna info har effektivt rensats bort från The Cyper Space (scarry shit!) Eller så nämner dom inte var bilderna ligger då dom tror att andra tjuvar genast går dit och snor ännu mera?

Ursprungligen av Json_81:

De kanske inte vet?
Mina bilder går till dropbox, box.net och google utöver icloud.

Ursprungligen av Demiurgen:

...För mig är det fortfarande mycket förvirrande och skumt att ingen av dom drabbade talat om att deras bilder på iCloud har tjuvats av någon - dom säger systematiskt bara att bilder har tjuvats...

Du kan släppa den konspirationsteorin, eller vad det nu är.

Man har nämnt att det handlar om iCloud - t.ex Kirsten Dunst. (se utdrag från hennes twitter här)

  • Avstängd
  • Bangkok Thailand
  • 2014-09-02 16:59

Jag tycker detta luktar unket och inte förrän det har verkligen fastslagits HUR dessa bilder läckt tänker inte jag döma någon.

http://9to5mac.com/2014/09/02/fbi-investigati...

Tack. Det var det jag tänkte...någon måste ju ha talat klarspråk

Dern där Brian F Hamade har nog inte alla hemma uppe i kontoret - hans skärmdumpar visar hela datorn med diskar och allt :-D. Jag tror att han är oskyldig, en som är så här extremt korkad fixar inte att hacka iClod :-D. Mannen är ju bokstavligen retarded. Hela grejen med att göra skärmdumpar när man vill visa bilder man har på disken är så...tja, gammelmormor skulle nog göra så om hon levde...det är inte hacker-stiul så att säga

Detta blir en spännande såpopera - FBI är nu on thre case (reddit har gjort halva jobbet så dom kanske fixar biffen). Och Hamade har fixat advokat. Spelet är riggat. Here we go.
Om det är ett "proffs" - en hackare på högre nivå (på anonymous-skalan) och ingen såskopp som bara rört ihop ett script och inte fixat reträtten (tänkte inte på det...IP-nummer-...MAC-nummer...) - så kommer vi och FBI tyvärr aldrig att få veta vem det är. Men det brukar vara såskoppar som besvärar sig med sådant här juvenilt trams (privata bilder/nakenbilder på kändisar...gäsp) så han/hon torskar nog tillslut :-D.
Att sy ihop en sådan här force är ju inte utmaningen - utmaningen är ju att aktivera den och sedan totalt försvinna och om det finns ett spår så leder det rakt ut i tomma rymden. DET är ju utmaningen som jag ser det. Men som sagt; riktiga hackare hackar saker som har betydelse eller att hacken blir en betydelse.

Ursprungligen av Jesper Ohlsson:

Du kan släppa den konspirationsteorin, eller vad det nu är.

Man har nämnt att det handlar om iCloud - t.ex Kirsten Dunst. (se utdrag från hennes twitter här)

  • Medlem
  • International user
  • 2014-09-06 10:30
Ursprungligen av lappen71:

Jag tycker detta luktar unket och inte förrän det har verkligen fastslagits HUR dessa bilder läckt tänker inte jag döma någon.

http://9to5mac.com/2014/09/02/fbi-investigati...

Det är en insamling under lång tid från olika ställen.
Men merparten av bilderna kommer från iCloud.

  • Avstängd
  • Bangkok Thailand
  • 2014-09-06 12:07
Ursprungligen av zappee:

Det är en insamling under lång tid från olika ställen.
Men merparten av bilderna kommer från iCloud.

Något som är väldigt svårt att avgöra och t.o.m på vissa selfies är det inte ens en iPhone dom tagit bilderna med.
Visst kan man gå så långt och säga att det kan vara bilder tagna med en annan kamera och sen inlagda på en iPhone och säkerhetskopierad till iCloud.
Det verkar som inte hela sanningen kommit fram än och har det verkligen till 100% verifierats att det är bilder från iCloud?

Jag har svårt att se hur man kan klandra Apple för detta. De är som vanligt ett tacksamt offer när drevet går igång.

Om jag förstått saken rätt så används speciell mjukvara tänkt för myndigheter som polis, där man kan hacka sig in i konton. Intrången har skett med hälp av riktiga lösenord och användarnamn, och inte genom någon liten lucka i koden (vilket hade legat mer på Apples bord).

Det är också självklart att Apple reagerar direkt när sånt här händer. De kommer att se över allt och försöka göra det svårare att upprepa. Kanske även på bekostnad av viss bekvämlighet för oss kunder.

Rätt trött på att inte mediarapportering kan ske balanserat och nyktert, utan allt måste vara en katastrof eller skandal.

Det påstås att en del av iCloud-tjänsten inte hade bruteforce-skydd (alltså en "lucka") - alltså att man kunde testa hur många lösenord som helst utan att en spärr inträdde - och att Apple sedan fixade denna lucka. Om det stämmer så förstår jag kritiken (att ha en tjänst utan bruteforce-skydd är absurt slarvigt - bruteforce är ett "hack" som vem som helst kan utföra), om det inte stämmer så förstår jag inte drevet alls.

Ursprungligen av AndreeMarkefors:

Jag har svårt att se hur man kan klandra Apple för detta. De är som vanligt ett tacksamt offer när drevet går igång.

Om jag förstått saken rätt så används speciell mjukvara tänkt för myndigheter som polis, där man kan hacka sig in i konton. Intrången har skett med hälp av riktiga lösenord och användarnamn, och inte genom någon liten lucka i koden (vilket hade legat mer på Apples bord).

Det är också självklart att Apple reagerar direkt när sånt här händer. De kommer att se över allt och försöka göra det svårare att upprepa. Kanske även på bekostnad av viss bekvämlighet för oss kunder.

Rätt trött på att inte mediarapportering kan ske balanserat och nyktert, utan allt måste vara en katastrof eller skandal.

Ursprungligen av Demiurgen:

Det påstås att en del av iCloud-tjänsten inte hade bruteforce-skydd (alltså en "lucka") - alltså att man kunde testa hur många lösenord som helst utan att en spärr inträdde - och att Apple sedan fixade denna lucka. Om det stämmer så förstår jag kritiken (att ha en tjänst utan bruteforce-skydd är absurt slarvigt - bruteforce är ett "hack" som vem som helst kan utföra), om det inte stämmer så förstår jag inte drevet alls.

Det stämmer, verktyget som användes.

Citat:

Here is appleID password bruteforce pOc. It's only p0c, so there is no

MultiThreading feature
Save-State-On-Exception feature
do it yourself

It uses Find My Iphone service API, where bruteforce protection was not implemented. Password list was generated from top 500 RockYou leaked passwords, which satisfy appleID password policy. Before you start, make sure it's not illegal in your country.

Be good

Uppdaterades för 2 dagar sen med "The end of fun, Apple have just patched".

Tja, då fattar åtminstone jag kritiken mot Apple och anser att varumärket är skadat. Man behöver inte vara speciellt insatt för att fatta att man inte kan släppa en molntjänst utan bruteforce-skydd. Apple har fuckat upp - that's it. En spade är en spade.

Ursprungligen av keptang:

Det stämmer, verktyget som användes.

Uppdaterades för 2 dagar sen med "The end of fun, Apple have just patched".

Tog hem scriptet (det är Phyton) - så här står det i README-filen:
---
It uses Find My Iphone service API, where bruteforce protection was not implemented. Password list was generated from top 500 RockYou leaked passwords, which satisfy appleID password policy.
---
Jag är chockad...jag antar att en eller fler ansvariga på Apple inte längre jobbar där - Cook-lien har defitivt gått ett varv eller två

Tycker synd om de drabbade, men om man nu är kändis och därför måltavla för attacker så borde man väl ha förstått att lösen som tex Password1, Princess1, abcABC123 inte skyddar så värst bra?

  • Medlem
  • International user
  • 2014-09-06 23:39
Ursprungligen av lappen71:

Något som är väldigt svårt att avgöra och t.o.m på vissa selfies är det inte ens en iPhone dom tagit bilderna med.
Visst kan man gå så långt och säga att det kan vara bilder tagna med en annan kamera och sen inlagda på en iPhone och säkerhetskopierad till iCloud.
Det verkar som inte hela sanningen kommit fram än och har det verkligen till 100% verifierats att det är bilder från iCloud?

Som sagt så är bilderna insamlade under lång tid och från olika ställen, men de mest uppmärksammade ska vara från iCloud.

Ursprungligen av Demiurgen:

Tog hem scriptet (det är Phyton) - så här står det i README-filen:
---
It uses Find My Iphone service API, where bruteforce protection was not implemented. Password list was generated from top 500 RockYou leaked passwords, which satisfy appleID password policy.
---
Jag är chockad...jag antar att en eller fler ansvariga på Apple inte längre jobbar där - Cook-lien har defitivt gått ett varv eller två

Det tror jag verkligen inte, hål finns överallt. Detta var inte direkt öppet och lätt att hitta.

Det var ett bruteforce-skydd som saknades. Apple hade alltså en inloggning till sin molntjänst som inte var brute-force-skyddad! Det var inget hål eller bugg...någon hade glömt sätta dit en viktig standard-grej - glömt sjutillhållarlåset och bara lämnat bygget med ett litet hänglås

Ursprungligen av zappee:

Det tror jag verkligen inte, hål finns överallt. Detta var inte direkt öppet och lätt att hitta.

Ursprungligen av Demiurgen:

Det var ett bruteforce-skydd som saknades. Apple hade alltså en inloggning till sin molntjänst som inte var brute-force-skyddad! Det var inget hål eller bugg...någon hade glömt sätta dit en viktig standard-grej - glömt sjutillhållarlåset och bara lämnat bygget med ett litet hänglås

vad tycker du om Apples 2FA-implementering?? jag kan logga in på icloud.com, säkerligen alla apple.com (developer, store, forum osv.), hämta backups mm... allt detta med user/pass

Apple erbjuder 2FA - man måste aktivt säga ja till det och fylla i info - en gång initialt (vet inte varför Apple valt att inte kräva detta…kanske blir det obligatoriskt nu när Cook ”ser över” grejen). Sedan används det bara när något kajkar ihop…om man glömt sitt pwd etc. Det används precis som du säger inte vid vanlig inloggning.
Jag tror 2FA blir jiddrigt om det ska användas varenda gång man loggar in, det är nog därför det inte slår igenom hos molntjänster som iCloud, DropBox, etc. Å andra sidan kan man ju välja att appar (Safari etc) minns inloggningen och auto- eller semiauto-ifyller den…
2FA utan hårdvara (t.ex. dongel) - alltså bara info som bara användaren känner till inne i sitt huvud (vilken färg hade din första cykel…) - ser jag som ett konto med flera passwords som måste fyllas in. Det är ju det det egentligen är - inget konstigt alls. Det är bara lättare att komma ihåg dessa passwords då dom är kopplade till en fråga som aktiverar en association i hjärnan :-D.

Skriver man in fel password ett flertal gånger (är det 3?) i t.ex. en iPhone så spärras den. Detta ska man givetvis också ha på alla molntjänster; om ett script sprutar ur sig olika passwords på en inloggningssida så ska det spärras (efter typ 10 fel tycker jag är lämpligt) och ett mail ska gå till ägaren av kontot om detta där man erbjuds att öppna upp allt igen - och sätta nytt pwd - genom ett 2FA-förfarande.
Problemet är att vemsomhelst kan sabotera andra liv med detta; en person som inte diggar X kan försöka logga in på dennes iCloud och då åstadkomma besvär för X som måste laga skiten. Man kan alltså enkelt temporärt spärra andra konton.

Jag vet inte vad som är bäst; jag vet däremot att ha det som Apple nu hade det - att man kan köra bruteforce-script och testa hur många pwd som helst utan att varningsklockor ringer - är förkastligt. Dom hade missat skyddet i en parameter (Find my iPhone-inloggningen) - det var nog en försummelse...ett misstag och någon/några har fått sparken. Det är logiskt. Jag tror att man haft krismöten på högsta nivå på Apple då en sådan här grej är mycket mycket skadligt för varumärket och ett företag som Apple lever och har alltid levt till stor del på varumärket (jo, dom är bäst och gör elegantaste lösningar/hårdvara, men har man svagt eller solkat varumärke så hittar inte eller undviker folk grejerna - att vara bäst räcker inte).

Men allt detta mitt svammel baseras på uppgifter som inte är bekräftade eller bevisade, bara logiska och troliga utifrån den information jag har tagit del av. Stämmer inte den informationen - och Apple inte alls hade halvöppen dörr på Find my iPhone-inloggningen - så är ju halva detta inlägg totalt meningslöst :-D. Så går det när man har insomnia och för lite att göra och nördar sig på forum mitt i natten

Ursprungligen av Forumlazzer:

vad tycker du om Apples 2FA-implementering?? jag kan logga in på icloud.com, säkerligen alla apple.com (developer, store, forum osv.), hämta backups mm... allt detta med user/pass

Ursprungligen av Demiurgen:

wow... mycket text

nämen min lilla poäng är väl mer att om jag väljer att aktivera 2-stegs verifiering, så förväntar jag mig att ingen kan logga in nånstans utan respons via tex sms/trusted device...
att välja apples märkliga 2FA-implementering tycker jag egentligen ger en sämre säkerhet än vanlig simpel autentisering, bara som ett exempel har ju både Hotmail & Google en riktig 2FA

Jo, det har du rätt i. Kanske kommer Apple kommer att ändra sin 2FA-implementering efter det här - även om jag personligen tycker den duger och är en bra kompromiss mellan säkerhet, integritet och användarvänlighet. Eller så nöjer dom sig med att göra deras 2FA-lösning obligatorisk.
Hur funkar Googles? Är det det där med mobiltelefon och SMS?
Vad som kommer att ändras hos alla stora moln är att 2FA inte längre blir en option för användare - det kommer att bli obligatoriskt. Att en del inte vill blanda in SMS och mibiltelefoner tror jag beror på att många användare inte vill blanda in sina telefonnummer i detta - det har med en känsla av integritet och många har hemligt nummer. Nästan alla jag känner ger inte så gärna ut sitt telefonnummer till vem som helst i IR-världen, så varför skulle dom ge det till ett amerikanskt företag? Och så byter ju folk telefonnummer då och då och givetvis glömmer ändra i molnet (som att många glömmer att ändra sitt kreditkortsnummer).

Ursprungligen av Forumlazzer:

nämen min lilla poäng är väl mer att om jag väljer att aktivera 2-stegs verifiering, så förväntar jag mig att ingen kan logga in nånstans utan respons via tex sms/trusted device...
att välja apples märkliga 2FA-implementering tycker jag egentligen ger en sämre säkerhet än vanlig simpel autentisering, bara som ett exempel har ju både Hotmail & Google en riktig 2FA

Ursprungligen av Demiurgen:

Jo, det har du rätt i. Kanske kommer Apple kommer att ändra sin 2FA-implementering efter det här - även om jag personligen tycker den duger och är en bra kompromiss mellan säkerhet, integritet och användarvänlighet. Eller så nöjer dom sig med att göra deras 2FA-lösning obligatorisk.
Hur funkar Googles? Är det det där med mobiltelefon och SMS?
Vad som kommer att ändras hos alla stora moln är att 2FA inte längre blir en option för användare - det kommer att bli obligatoriskt. Att en del inte vill blanda in SMS och mibiltelefoner tror jag beror på att många användare inte vill blanda in sina telefonnummer i detta - det har med en känsla av integritet och många har hemligt nummer. Nästan alla jag känner ger inte så gärna ut sitt telefonnummer till vem som helst i IR-världen, så varför skulle dom ge det till ett amerikanskt företag? Och så byter ju folk telefonnummer då och då och givetvis glömmer ändra i molnet (som att många glömmer att ändra sitt kreditkortsnummer).

Googles & Hotmail funkar så att när du loggar in med user/pass oavsett android-lur eller webbläsare eller vad man kan tänka sig (när du loggar in helt enkelt) KRÄVS en respons SMS, Authenticator eller alt. email...
Apple har 2FA på vad dom tycker är viktigt... ändra lösenord mm.
i fallet med kändisarna hade 2FA inte hjälpt ett dugg, eftersom jag fortfarande kan ladda ner backups, logga in via webben.. utan verifiering

edit: sen personligen förstår jag att apple har kompetent säkerhetsfolk som känner till detta... problemet med 2FA är att det kostar en slant för Apple att tvinga alla (200 milj apple-id 2011) användare att använda detta... varken Hotmail eller Google tvingar dig att använda 2FA, men dom har lite bättre återställningssäkerhet

När jag loggar in på Google och YouTube krävs bara user och pwd - som det alltid har varit. Jag erbjuds dock då och då att aktivera 2FA (SMS) om jag vill. Jag antar att man inte behöver SMS'a varje gång man loggar in på Google om man valt att ha 2FA? Det måste väl ändå bara gälla när man ska göra något speciellt eller byta pass etc?

Jag tror inte det är en kostnadsfråga för Apple eller någon annan i molnbranchen. Det handlar nog om enkelhet, användarvänlighet och att slippa ha en support-avdelning som äre större än resten av företaget :-). Man väger säkerhet och jidder helt enkelt - och försöker hitta en kompromiss.

Ursprungligen av Forumlazzer:

Googles & Hotmail funkar så att när du loggar in med user/pass oavsett android-lur eller webbläsare eller vad man kan tänka sig (när du loggar in helt enkelt) KRÄVS en respons SMS, Authenticator eller alt. email...
Apple har 2FA på vad dom tycker är viktigt... ändra lösenord mm.
i fallet med kändisarna hade 2FA inte hjälpt ett dugg, eftersom jag fortfarande kan ladda ner backups, logga in via webben.. utan verifiering

edit: sen personligen förstår jag att apple har kompetent säkerhetsfolk som känner till detta... problemet med 2FA är att det kostar en slant för Apple att tvinga alla (200 milj apple-id 2011) användare att använda detta... varken Hotmail eller Google tvingar dig att använda 2FA, men dom har lite bättre återställningssäkerhet

Ursprungligen av Demiurgen:

När jag loggar in på Google och YouTube krävs bara user och pwd - som det alltid har varit. Jag erbjuds dock då och då att aktivera 2FA (SMS) om jag vill. Jag antar att man inte behöver SMS'a varje gång man loggar in på Google om man valt att ha 2FA? Det måste väl ändå bara gälla när man ska göra något speciellt eller byta pass etc?

Jag tror inte det är en kostnadsfråga för Apple eller någon annan i molnbranchen. Det handlar nog om enkelhet, användarvänlighet och att slippa ha en support-avdelning som äre större än resten av företaget :-). Man väger säkerhet och jidder helt enkelt - och försöker hitta en kompromiss.

naturligtvis menar jag om du har 2FA aktiverat... & nej har du en authentication token (du har godkännt din enhet) förblir du inloggad, när du sen loggar ut förstörs din login & du måste pånytt godkänna en login

om du tex är på semester & vill läsa dina gmail på ett internetcafé.. har du 2FA aktiverat kan du inte logga in med bara user/pass
har du mobilen får du ett sms & kan logga in... om inte tyvärr

det är det som är hela poängen... vill du undvika att folk (som har kommit över lösen/pass) kan logga in runt hela världen, kan man lägga till ett steg som gör hela grejen betydligt svårare

Bevaka tråden