Apple confirma que el #Celebgate fue un ataque a las contraseñas y no un fallo en iCloud

El problema no es el servicio, es que saben a quien atacar y lo hacen bien. Estos famosos utlizan iPhone, es así de sencillo.
Si ven que tiene un iphone, saben que es muy posible que tenga activado la opción de fotos en la nube.
El siguiente paso es. Averiguar su cuenta de correo personal y posibles preguntas de seguridad, si quieres resetear la contraseña.

Nombre de mascotas, lugares favoritos, sitios dónde ha estudiado... Cosas que un famoso en muchas ocasiones publica el/ella mism@ en las redes sociales.

Te sorprenderías lo fácil que es acceder a cuentas de conocidos, si conoces lo suficiente de ellos.

apple nunca va a reconocer que han errado,solo la gente que usa icloud ha caido y pq no caen sus cuentas de twitter y gmail?

voy a hacer justo ,creo por ley cuando uno borra algo solo desaparece para el usuario en caso de crimen debe guardarse 6 meses todo lo que borro el usuario, igual yahoo,gmail..

Es como es

¿Te pones ese nombre de usuario y esperas que la gente te tome en serio? Tu te lo buscaste, te tienes que calar comentarios como el de ibnmarwan por tu propia creatividad a la hora de pensar un nombre de usuario, asi que deja de quejarte o no comentes mas.

para demandar apple tiene que probar que no es cu culpa y segun la mayoria de expertos, es culpa de apple, hace rato que se publicaba fallos de seguridad y como es conocido hay un momton de fallos que a apple no le importa arreglar pq a sus clientes huecos igual les van comprar,por algo dicen que es un culto

No me jodas, la respuesta a la pregunta de seguridad es: silver linnings playbook

Excelente comentario, el mejor que he leído en esta publicación, parece que me hubieras leído la mente :-)

gracias

Muy buen comentario, didáctico, sin ofensas ni peleas con nadie.

Así es amigo. Yo tengo muchos clientes a los que me cuesta dios y ayuda que activen verificaciones en dos pasos, que utilice una contraseña para cada servicio.. Y al final siempre tienden a poner la misma contraseña sin cambiarla nunca.

Eso nos pasa a todos... es un milagro que no haya más problemas.

Esta claro que eso es una clara dejadez en la seguridad de tus intereses digitales, y si el ataque de fuerza bruta lo han hecho en otros servicios y luego han probado esa contraEña en iCloud, entonces nada que decir (al menos de Apple). Pero cualquier sistema te debe de bloquear la cuenta o la posibilidad seguir metiendo contraseñas, de forma temporal para evitar eso. No es nada nuevo. Por eso me extraña que Apple diga que ha sido un ataque de fuerza bruta... a sus servidores entiendo yo.

Si haces eso y encima te registras en un foro o web de los millones que hay en internet (como esta web por ejemplo), estarás entregando todos tus datos a los administradores del sitio. Si estos administradores tienen malicia, podrían usar su base de datos para intentar entrar en otros servicios. Aunque se supone que en la base de datos contraseña tiene que ser un hash ¿Quién te lo garantiza? ¿Cómo sabes que no la está guardando en plano?.

Los tiene, pero cuando crear la CONTRASEÑA, decidir cuales son las respuestas a tus preguntas secretas, usar o no la seguridad de dos pasos depende del USUARIO, SI no creas una buena contraseña, ni piensas bien las respuestas ni usas el sistema de dos pasos.... Nada puede hacer Apple

Revisa tus datos.
"ataque durante meses y consiguieron entrar porque las contraseñas no eran seguras..." joder si llevan meses probado contraseñas yo lo considero bastante seguro. Lo inseguro es que puedas hacer los intentos que quieras. Ataque de fuerza bruta y una gran negligència de Apple

La cuestión es que puedan estar realizando un ataque a las cuentas durante mese y apple ni se diera cuenta de dicho ataque. Entonces según esto el problema no estaba en las claves que no eran seguras ya que si para adivinarlas han tardado meses quiere decir que el problema reside en los servidores de apple que no supieron detectar dicho ataque. No creo que sea tan difícil implementar un sistema donde luego de 5 intentos fallidos te pida renovar la contraseña. Dudo que así sean capaces de dar con la clave aunque fuera sencilla.

Diselo a Google que es de los que más sufre... o a Sony que entre ataques DoS y ataques de fuerza bruta para reventar contraseñas es que PSN no pasa 2 días sin un sobresalto... díselo a MS, díselo a Facebook (la segunda que más ataques de fuerza bruta recibe), etc... Puedes poner medidas, pero si la pregunta de seguridad es el nombre de la mascota y cualquiera puede conocer ese nombre porque lo ha publicado en Facebook, Twitter... pues lo raro es que no pase más veces. Y no puedes quitar lo de la pregunta de seguridad porque muchos usuarios hasta se olvidan que su contraseña eran 1234 si no la han metido durante una semana.

hasta mañana

Qué afortunado soy, mi primera mascota murió el año 1987 o por ahí, cuando no había ningún lugar para dejar registro del nombre de mi querido perro Spike.

Oh wait!!!

100% de acuerdo con todo contigo,si mañama explotaran 10000 iphones dirían que es culpa de la instalación electrica que tengan esos hogares,nunca de ellos.Lo repito yo soy un famoso de los implicados y pongo una demanda a apple por llamarme directamente TONTO por dar por hecho que no se proteger mi cuenta de icloud a parte del daño que me hubiera provocado porque una empresa milmillonaria como apple no esté capacitada para parar estos ataques,que no estamos hablando de la frutería de la esquina, que es APPLE la que ha permitido este ataque.

Eso de exponer en un comentario que se está siendo irónico le quita toda la gracia.

La gracia es ser irónico y divertido, no escribir lo irónico que crees ser.

Creeme, con el poco de gente loca suelta en WSL, hay que poner ironic/sarcasm ON, porque sino se lo creen, ya me ha pasado antes.

A menos que te llames Homer Simpson:
http://www. youtube.com/watch?v=IPi8UZcJfQk

Apple no tiene tan fácil mentir. El FBI está detrás del tema y hay denuncias de gente "con infuencia". Rastrear los logs y ver lo que ha pasado no es difícil. Ahora tendrá que entregar esas pruebas (hay un investigación criminal en curso) y posiblemente acaben dando con los atacantes (siempre es cuestión de dinero y recursos).
Por otro lado me resulta más fácil creerme que ha sido un fallo de los usuarios, porque es lo más sencillo de hacer. He trabajado en peritaciones que asustarían.

Mala prensa? Eso no es bueno, más aun cuando el estandarte de apple era la seguridad.

Por supuesto que debía aclararlo y como usuario de Apple yo no solo temía de mis fotos sino de más datos sensibles de mi cuenta.

Culpa de Apple o no. Yo cambie las contraseñas que utilizo que en estos casos es lo mas recomendable.

Saludos.

claro, samsung, el autor del selfie de los oscar, ha hablado con los presentes en esa foto para que hablen mal de apple.... claro, claro, super increiblmente posible.

o tal vez para darle mas marketing a apple o.O

me comprare el iphone 6 xD

Creo que Samsung ha comprado a los de Salveme Deluxe, para meterle mas caña a Apple.

Tranquilos apple sale afectada porque es de las más populares en telefonia, al igual como los virus salen solo en windowns, no lo hacen por odio a microsoft si no porque windows es el sistema operativo más popular.

Y si apple sale afectada pues ¡¡que mejor!!, para calmar todo este lio van a tener que hacer algo para recobrar la confianza, mejorar su seguridad y cosas así, así que yo digo, ¡Que bueno que se topen con estas broncas!

PD. te apuesto que sin esta bronca todavía estaria el fallo de seguridad que supuestamente arreglaron cuando todo esto paso.

Pd2. Que toda la bronca caiga sobre Apple jajaja (risa malvada).

de hecho segun algunas personas no estas errado, aunque se ha culpado a icloud, se sabe que ahi otros servicios involucrados, y que de hecho existe la correlacion que todas las personalidades destapadas asistieron a los emmys. no es que quiera rescatar la imagen de apple, es solo que, me gusta la intriga. y el hecho de que el celepgate sea una trama elaborada por la competencia en visperas de la presentacion de su nuevo dispositivo me intriga.

https my friend.. https

En estos sistemas, los usuarios y contraseñas nunca se transmiten "en claro", es decir, capturando tráfico no se van a poder leer las contraseñas.
Cada uno tiene su culpa, si cualquier persona pone como contraseña "1234", no puede esperar que sea otro quien proteja una información que él mismo no protege. Pero el tema es otro, justo coincide que se publica el script que comentaba y tres días después casualmente todas tenían puesto "1234" como contraseña, no?

Han especificado que no se ha explotado ninguna fallo de Buscar mi iPhone, y en la actualización no se habla de ataque de fuerza bruta en ningún momento.

hay complicidad, no exigen contraseñas fuertes y permiten ataque de fuerza bruta que precisamente empezaron a existir desde la semana pasada!

Quieres decir... ¿como cuando no reconocieron que habían tenido un fallo de seguridad en la web de desarrolladores?

No tiene nada que ver un caso con el otro. En uno avisan, diciendo que "aunque hubo un ataque, gracias a sus medidas de seguridad, ningún dato sensible fue obtenido", y lo hicieron después de que la web estuviera cerrado tiempo (en el cual ya había rumores mucho peores).
En este caso, si se demuestra un mínimo de culpa par parte de Apple, la demanda que le puede caer va a ser buena, y en su comunicado lo único que dices es que los accesos a esa información han sido a través de los usuarios y contraseñas o preguntas de seguridad (omiten cualquier referencia a que hayan o no permitido un ataque por fuerza bruta).

Si, pero si por ejemplo desde internet (la web de iCloud) o desde cualquier iOS con find my iphone, pruebas a meter contraseñas o te conectas a una cuenta, al usuario en cuestión no le llega ningún comunicado de que se ha accedido a su cuenta desde internet o find my iphone.

Te crees que Apple va a mentir con este tema, cuando tiene a los abogados de las celebs acechando y esperando el mínimo error? de sencillo no tiene nada, la FBI ojalá descubra quien está detrás de esto, apuesto a que las propias celebrities junto a grandes empresas se han unido para una campaña sucia a días de una keynote, una gran convenio con tarjetas de crédito y ventas astronómicas del nuevo iPhone.

La culpa es de los Aliens.

Exacto. Es imposible que un hacker, por muy bueno que sea saque, la contraseña de cientos de cuentas al primer intento. Tras varios intentos debe bloquearse la cuenta.
Además, dudo bastante que haya ido manualmente cuenta por cuenta probando contraseñas.