Hace 9 años | Por --320894-- a thenextweb.com
Publicado hace 9 años por --320894-- a thenextweb.com

El lunes, un script de Python apareció en Github y parece haber permitido a los usuarios maliciosos obtener por "fuerza bruta" la contraseña de una cuenta de Apple iCloud. Código fuente: https://github.com/hackappcom/ibrute

Comentarios

D

#8 En eso totalmente de acuerdo, pero la culpa no es 100% de Apple y eso es indiscutible, van a 50% diria yo
#9 Pues eso

Ferran

#10 Que los usuarios suelen escoger contraseñas poco seguras es algo que se sabe, Apple debería haberlo previsto: evitar que se puedan usar contraseñas muy comunes y evitar que se pueda acceder mediante fuerza bruta.

Si se hacen más de 3 intentos fallidos en menos de x tiempo se bloquea por un tiempo, captchas, ips, etc.

100% culpa de Apple.

D

#29
#20

Os estáis equivocando mucho, es cierto que apple debería recomendar una seguridad mayor para tus contraseñas pero, al fin y al cabo eres TU quien elige esa contraseña (1234 por ejemplo), si a ti te dicen "Oye si quieres conduce mi coche, pero no tiene frenos" y tu vas, lo conduces y te estampas no culpes al dueño por no llevar frenos, no es su culpa, es tuya por haber cogido un coche sin frenos; así de sencillo.

¿Lo de la fuerza bruta? Ahí claro que la culpa es de ellos, por dios mira que no poner algún tipo de sistema para evitar fuerza bruta manda cojones, pero no podéis culparles de que los usuarios sean tan estúpidos de poner contraseñas super básicas, porque en ese sentido la culpa no es de Apple y si seguís insistiendo que si es su culpa entonces está claro de que pie cojeáis y ésta conversación no tiene sentido.

No es 100% de Apple, no seáis tan demagogos con todo el tema Apple por favor, que a alguno parece que violó a sus hermanas o algo ésta compañía.

D

#29, #20 Go to #16. /cc #30
¿Qué tiene que hacer Apple, ponerles un arma en la cabeza para que activen la verificación de 2 pasos?
Yo que soy un Don Nadie la tengo activada en todos los servicios que la ofrecen...

D

#32 Justo eso es lo que decía yo
#33 Y nadie lo discute, de hecho yo estoy diciendo que ha sido cagadón por no proteger la API
#37 Me refería a demagogía anti-apple lol perdón
#38 Tu en serio has leído lo que has escrito? Me estás diciendo que el usuario, al cual se le indica que POR SU SEGURIDAD ACTIVE LA VERIFICACIÓN EN DOS PASOS, que se le RECOMIENDA UTILIZAR CONTRASEÑAS FUERTES, se lo pasa por el forro de los cojones, se pone "1234" como contraseña y la culpa es de la empresa? ¿Acaso pone en iCloud en algún lado "tu cuenta en la nube MAS SEGURA DEL MERCADO"? Y realmente tu mismo lo has dicho, te dejan el coche más seguro del mercado, tu eliges la llave, si eres tan payaso de elegir una llave de plastelina, tronco, la culpa no es del vendedor del coche, es tuya por retromonguer y punto.

Pero vamos, tu comentario donde te contradices a ti mismo es un claro ejemplo de Apple hater sin más con el que no se va a poder dialogar absolutamente nada, y dicho esto finalizo mi conversación contigo, porque va a ser un bucle infinito donde echarás la culpa a Apple por ser Apple en vez de verlo de forma objetiva.

pendejo

#40 Te equivocas. No forzar el uso de passwords seguros y permitir el abuso de un servicio es de mal sysadmin o mal developer. No hay más, al menos en entornos profesionales. Y es exactamente lo mismo para apple que para la FSF o la apache software foundation. El usuario debe ser guiado hacia la seguridad por la salud de todos.

Abeel

#40 Valiente que digas eso cuando todos los proyectos de mi empresa destinado a Apple me tienen de encargado y me tienen obligado a usar solo dispositivos moviles con iOS. Es un error de desarrollador, cuando estudiaba la ingeniería todos los profesores te suspendían si no tenías en cuenta ataques de fuerza bruta, diccionarios, sql-injecctions y arp-poissoning, ya más tipicos de ataque según profesor lol lol, pero un sistema que se coma la fuerza bruta ya puede ser Apple, Google o Desarrollos Viuda de Manolo está mal diseñado.

Sandevil

#30 Si, lo de la fuerza bruta es culpa de ellos, dado que es un servicio que ofrecen y es su responsabilidad que este sea seguro, como ya han explicado anteriormente.

Demagogos con el tema de Apple? Ni de lejos. Una compañía con la suficiente influencia como para evitar que se mencione su nombre en las noticias de una cadena de televisión(Antena 3, daban mas vergüenza ajena que de costumbre esta noche comentado lo sucedido), a mi me despierta de todo menos simpatía.

Abeel

#30 No es así, pero para nada, es como si te dijeran "coge mi coche, es el más seguro del mercado, te dejo elegir y todo que llave usar, oh quieres una de plastelina? te la dejo".

No es culpa de usuario, no tiene porque saber qué contraseña es la correcta, es misión del ingeniero decirle que la que ha elegido no es correcta (o un software previamente programado para ver que esa contraseña es mala).

D

#10 No, la culpa es de Apple. Uno de los principios de la programación de seguridad de un sistema es ponerse siempre en el peor caso, si supones que algún tarado va a usar 1234 de password lo que haces es poner políticas de password que obliguen a usar algo más complejo, no dices que la culpa es del usuario por haber escogido 1234 de password.

Con lo de la fuerza bruta lo mismo, la protección para evitarlo se lleva implementando desde hace décadas, desde los tiempos de Unix si intentas entrar demasiadas veces al sistema te bloquea durante un tiempo y si quieres avisa al administrador, no poner algo tan simple y evidente como eso es culpa única y exclusivamente de Apple.

Neochange

#10 El problema es que los usuarios se compran un iPhone porque confían en la seguridad del servicio. Si luego te permite poner contraseñas d mierda y bugs para hacer fuerza bruta la responsabilidad es de apple.


No es dejarse una ventana abierta, es que una empresa que me ha instalado una alarma ha dejado la llave encima de la caja

desheredado

#0 Podría

D

#2 No entiendo

D

#5 Goto #6

No puedes culpar a una empresa porque X usuario haya ejecutado Y script de FUERZA BRUTA aprovechando una vulnerabilidad... Os ponéis más bien del modo "Han dejado todas las puertas abiertas" cuando realmente es que han cogido un bug y zasca fuerza bruta utilizando CONTRASEÑAS DE USUARIOS es decir, nada de reventar la propia seguridad del sistema, no no, han UTILIZADO CONTRASEÑAS PARA ENTRAR, en fin... La culpa es de las famosas por utilizar contraseñas de puta mierda.

Nova6K0

#7 Si tu dejas una ventana de tu casa un poco abierta y te roban. La culpa es tanto tuya como del ladrón que aprovecha eso. Eso es lo que le ha pasado a Apple. En todo caso lo de las contraseñas es cierto.

Salu2

miguelpedregosa

#7 se puede proteger la API bastante mejor

D

#33 Nadie lo discute.
Y se puede ser más juicioso y proteger mejor los datos personales, teniendo en cuenta la de tarados mentales que hay por ahí.
Y se puede ser menos cabrón, y no violar la intimidad de los demás.
Pero como dicen los norteamericanos: "Shit happens".

Frasier_Crane

#5 ¿más de 100? Debo de haberme bajado la versión light

losuaves

#5 es curioso que cuando se descubre que un gobierno nos ha estado espiando ponemos el grito en el cielo, pero aplaudimos la invasión de la intimidad de otras personas cuando nos interesa... muy curioso.

musg0

Hombre, ver tetas y cipotes de gente con vida más o menos pública no hace daño a nadie (no creo que contraten menos a la lawrence por enseñar las tetas) y fapearse es sano y previene el cáncer de próstata.
Si un gobierno te espía no es para fapearse en la intimidad con tus desnudos sino para controlar tu vida si eres un mindundi currante, joderte la vida en la cárcel si te rebelas o pegarte un tiro en la nuca si te vuelves muy combativo. No es lo mismo. #28

D

#41 el problema es quien no tenía las imágenes. No todas tienen que ser para la pareja o quien sale a mayores es la pareja.
No son tetas o cipotes mostrados de forma pública, son privadas.

D

Al parecer, ninguna de las afectadas tenía activada la verificación de dos pasos que ofrece Apple para evitar este tipo de problemas. /cc #11

#14 Nadie lo sabe, pero mucha de esta gente se conoce, y puede que con solo acceder a una llegaran al resto por sus contactos.

D

#54 Ya lo he comentado en #16, puede que muchas de estas personas se conozcan entre sí. Al acceder a una, pueden haber encontrado el correo de otra en los contactos, y así hasta no encontrar nada más interesante...

s

Y sin enlace al script!

Edito... dicen que Apple ya lo ha arreglado...
https://github.com/hackappcom/ibrute

D

Pero para hacer funcionar esto necesitas el correo de la persona... ¿De dónde han sacado los correos de toda esa gente?

D

#14 del facebook

DaniTC

#42 ¿Cómo?

Comiendo.

Tienes un grave problema de comprensión lectora. Relee mi comentario y dime cuándo he dicho yo que el que aprovechó la vulnerabilidad no debe ser responsable de sus actos. Algunos tenéis tantas ganas de llevar la razón que os inventáis cualquier cosa.

Apple ha tenido un agujero de seguridad inaceptable y debe pagar por ello. Eso es lo que he dicho.


Al que le va a caer una buena es al "hacker"

Eso lo sabemos TODOS. Lo que no queda tan claro es qué le va a pasar a Apple.

Manolitro

Cuanto garrulo junto por favor, han violado la intimidad de 100 personas y aquí jaleandolo como energumenos que animan a su colega mientras graba la violación

Uh! Uh! Uh! Tetas de famosas uh! Uh! Uh!

r

Otro fallo es confiar que tus fotos en la nube o en tu propio teléfono nunca verán la luz cuando se llevan filtrando fotos así desde los móviles tochos con cámara.

D

La vulnerabilidad del sistema de Cloud.

Frogg_girl

Parte de las fotos han salido de dropbox también.

D

#17 Y algunas de las actrices ni siquiera usan un iPhone

D

Sí, claro, claro...

D

No fue un fallo del sistema, fue simple ingeniería social: http://www.apple.com/pr/library/2014/09/02Apple-Media-Advisory.html

K

#53 Para eso sigues necesitando saber el mail de todas las famosas que han hackeado.. Si consiguieron hackear 100 eso es que lo intentaron con 2oo por lo menos. La explicación que da apple es poco creible.

Ingenioso_Hidalgo

#23 Sobra porno en internet eso está claro. Pero cuidado con el chasis de la Jennifer Lawrence... Me ha impresionado la buena que está. Esperaba que se "desinflara" como la Scarlett. Las berzas de la Kate Upton son world class. El resto no vale para "nada".

Esto lo sé de oídas.

Macant

Solo un pais podrido puede consentir esto sin que haya consecuencias ... y este pais es una mierda en todas las instituciones fruto de esa ""ejemplar"transicion

D

Ose que han aprovechado una vulneravilidad en la API de "find my iphone" para realizar una ataque de fuerza bruta. Y claro ya sabemos la calidad de las contraseñas de los usuarios wall

K

Vale con esto se puede atacar una cuenta de usuario, ¿pero como sabes a que hay que atacar?
¿Las cuentas de icloud de las 100 celibrities que dicen que han robado fotos son publicas? O van diciendo ellas cual es su cuenta de usuario..
El fallo que fuera también permitía ver los nombres de cuentas de usuario, yo creo que si hubo una vulnerabilidad en icloud y no solo que reventaran a fuerza bruta las cuentas.

skaterdonza

Yo diría que ha sido un trabajador descontento de Apple, por mucho que ahora quieran decir que si tal y cual para lavar su imagen

G

la contraseña de Jennifer lawrence era Jennifer ...

No tengo mucho interes pero por curiosidad me estoy bajando 600mb en fotos y algun video lol

y hoy posiblemente pondran todos los videos...

Frogg_girl

#21 ¿No tienes interés y te estás bajando 600mb en fotos y videos? Pues menos mal, que si lo llegas a tener...

G

#22 Es lo que hay, el pack completo, lol si no se anduvieran cargando los albunes online pues con un vistazo para satisfacer la curiosidad de que han robado y a otra cosa.

Por cierto es curioso la efectividad en cargarse los enlaces en este caso.

#24 Que no, es curiosidad hay porno de sobra por internet para eso, a mi lo de las famosillas en pelotas y videos amateurs de estas nunca me llamo mucho la atención más que para "a mira esta en pelotas y [X]".

D

#21 "No tengo mucho interés"...

Ya, descargar 600 MB para previsualizar, si eso... vete buscando una excusa mejor para explicar el cabestrillo mañana en el tajo.

DaniTC

#21 ¿600MB? ¿Pero cuántas fotos han salido?

¿No eran tres o cuatro famosas?

En fin, espero que le caiga a Apple una muy MUY MUY gorda. Esto es un fallo gravísimo.

D

#39 ¿Cómo?

Un tío descubre una vulnerabilidad en una API, y en lugar de reportarla a la empresa (que es lo que haría cualquier hacker responsable) lo usa para obtener fotos íntimas de famosas que hace públicas en internet ¿y la culpa es de la empresa y no del hacker?

De verdad, no entiendo esa lógica.

Si en cualquier caso la empresa no te hace caso, haces algo que llame la atención para que te hagan caso. Pero no jorobas la intimidad de terceros.

Y que yo sepa, en EE.UU. es ilegal aprovechar una vulnerabilidad de un sistema para obtener acceso a datos ajenos.

Al que le va a caer una buena es al "hacker".

G

#39 el directorio tiene 359 archivos habra unas 35 famosillas, aunque americanas alguna ni me suena.

Y faltan.

KernelPanic

#21 Que lo disfrutes con salud..