Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon ¿El hacker que filtró las fotos de famosas de Hollywood amenaza con publicar más al ser perseguido por el FBI ?




Un momento crítico para la seguridad en la nube. Estos días todo Internet se convulsionó por la filtración de fotografías íntimas de celebridades de la talla de Jennifer Lawrence, Kaley Cuoco o Kirsten Dunst. 
Internet arde con un sorprendente filtrado de imágenes muy comprometidas que afecta a decenas de famosas y reabre el debate sobre la privacidad en la Red.





La pesadilla en Hollywood continúa. El "hacker de las estrellas" filtró más imágenes íntimas de Jennifer Lawrence, Kate Upton, Rihanna, Ariana Grande, Teresa Palmer y Ali Michael

El hacker, a quien otros usuarios se refieren como “Original Guy”, afirman que ha comenzado su huida tras conocer que la justicia internacional le pisa los talones. No se le ha ocurrido otra cosa mejor que contraatacar amenazado con filtrar más fotografías si no dejan de perseguirle, algo que no suena muy inteligente.

"Sé que nadie me creerá, pero tengo un video corto de Lawrence. Es muy corto, de apenas un poco más de dos minutos, y sólo se ven los pechos. En fin, si alguien lo quiere, que me haga saber cómo subirlo anónimamente (no quiero al FBI sobre mí y no quieren saber cómo conseguí el video)", escribió el hacker no identificado, que pidió donaciones por la filmación.

En las últimas horas se publicaron dos videos de la actriz Jessica Brown Findlay, conocida por interpretar a Lady Sybil en Downton Abbey, y se filtraron más fotografías al desnudo de estrellas como Rihanna, Aubrey Plaza de la serie Parks and Recreation, Ariana Grande, Teresa Palmer, Kate Upton y Jennifer Lawrence.

La mayor cantidad de imágenes disponilbles pertenecen a Kate Upton 

Ali Michael, la actriz Lori Ann Heuring y la cantante Cassandra Elizabeth Ventura, conocida como Cassie, también se agregan a la lista de las 100 personalidades afectadas, entre la que solo hay un varón, Dave Franco.
Kirsten Dunst, una de las involucradas en el paquete de reveladoras imágenes, ha usado su cuenta de Twitter para declarar su descontento con la situación y con iCloud.

Es la filtración simultánea de imágenes privadas de celebridades más grande de la que se tenga registro. Se suponía que el cibercriminal había atacado las cuentas iCoud de las estrellas gracias a una falla en el servicio, pero Apple salió a negar que sea responsable del Celebgate, como se ha popularizado el escándalo.

El usuario anónimo poseedor de este archivo de imágenes amenaza con tener muchas más fotos y vídeos, alguno de ellos todavía más comprometedor, y ha facilitado una cuenta de PayPal en la que acepta donaciones para seguir publicando estas imágenes que han revolucionado el inicio de septiembre en todo el mundo.
Fuente:


A raíz de la liberación de las fotos íntimas de famosas este fin de semana pasado en el foro /b/ de 4chan, el sitio ha añadido a sus normas la DMCA o Digital Millennium Copyright Act. Anteriormente se gestionaba por su rápida caducidad de contenido. Bajo esta política, 4chan ahora eliminará el contenido cuando sea notificada una "infracción de buena fe" por la ley. 
Casi todas las famosas afectadas usaban iPhone, así que rápidamente las miradas apuntaron hacia Apple y su popular sistema iCloud.

 En primer lugar, cuando Apple introdujo iCloud, lo uso inicialmente como forma de hacer backup del contenido de iPhone & iPad, lo que hacía que fotos, vídeos, notas, marcadores de navegación, datos de apps, etcétera, se copiaran a los servidores de Apple. Una mala idea para la privacidad personal, pero al final, para la gente que ha dejado de utilizar PCs en su vida cotidiana, el contar con un backup en la nube podría ser muy útil.

El protocolo de acceso a Apple iCloud está analizado y re-analizado, y en una conferencia no hace mucho tiempo se publicó un estudio y unas librerías en Python para todo aquel que quisiera hacerse su propia herramienta, así que si las famosas tenían activado Apple iCloud - que parece que está más que confirmado - es de donde se sacó el material.

A pesar de lo que muchos medios generalistas anunciaron, nadie penetró en los sistemas de la nube de Apple. No se explotó ninguna vulnerabilidad directa. El problema se encontraba en la API de "FindMyPhone" de Apple. Concretamente esta llamada REST (hay un supuesto script que parece haber sido usado para el ataque - https://github.com/hackappcom/ibrute):

"https://fmipmobile.icloud.com/fmipservice/device/'+apple_id+'/initClient"
Donde el 'apple_id' se debe introducir el correo de la víctima. Exacto, el atacante debe saber de antemano el correo de la cuenta asociada a iCloud a la que quiere acceder. ¿Cómo era posible saber el correo de una famosa? Existen muchas teorías, alguno sería sencillo de averiguar o quizás pululaba por ahí, el caso es que obteniendo la agenda de contactos de una famosa el resto era ir tirando de la caña.
El ataque se hacía de manera combinada, con listas de correos y listas de contraseñas por lo que se trataba de un ataque de longitud cuadrática. "Por cada correo prueba estas 500 contraseñas…". Esto genera un ruido impresionante en los registros de eventos que ni a un IPS de segunda división se le pasa por alto, en el supuesto claro de que hubiera alguno… ¿Lo habría?
Observamos como el User-agent y otros valores son fijos. Y vemos algo que llama mucho la atención: El UDID del dispositivo origen de las peticiones es pseudoaleatorio, falso como el cartón piedra y cuando la combinación usuario/contraseña es correcta Apple no hace una comprobación adicional de ese UDID rechazando, a pesar de la validez de la contraseña, la petición. Tarjeta amarilla.
Lo segundo y que es lo que ha llegado a las rotativas, es la falta de límite de intentos de acceso a una cuenta determinada. Como dijimos un par de párrafos arriba los servidores de Apple se tragaban cualquier número de peticiones con resultado erróneo. ¿Os imagináis a Jennifer metiendo 500 contraseñas en 60 segundos en el set de rodaje mientras la esperan para la siguiente toma? Tarjeta roja.
Otro asunto es que la autenticación se hacía a través de la autenticación básica implementada por el protocolo HTTP. Concatenación de usuario y contraseña, símbolo ':' mediante y eso lo pasamos por un codificador en base64. Eso no es un hash, es simplemente una cadena codificada. La lista de passwords, supuestamente usada, no son hashes MD5 o SHA1 o lo que sea. Son contraseñas en texto claro que van a ser codificadas y enviadas para su comprobación al servidor de "FindMyIphone". Luego si no nos equivocamos, en algún momento esas contraseñas podrían estar almacenadas con un simple base64.
  
Fuente:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.