Tras los eventos de ayer, Apple ha indicado a Re/code que está "investigando activamente" las noticias de la posible violación de diversas cuentas de iCloud que podría haber dado como resultado la publicación de cientos de fotografías personales de carácter íntimo pertenecientes a multitud de actrices de Hollywood, cantantes y modelos, entre otras personalidades.
"Nos tomamos la privacidad muy en serio y estamos investigado activamente este asunto"
Como ya os adelantamos en un primer momento, un fallo descubierto en el API de Buscar mi iPhone fue señalado como la posible vía de acceso, aunque informaciones más recientes parecen hacerlo altamente improbable. La vulnerabilidad fue difundida el pasado viernes 29 de agosto durante el Chaos Constructions 2014, momento en el que también se publicó en GitHub iBrute, el script de Python que permitía realizar un ataque de fuerza bruta al servicio para recuperar la contraseña de una cuenta.
Apple solucionó el fallo apenas 48 horas después, durante la madrugada del domingo al lunes de septiembre, todo un récord teniendo en cuenta los tiempos que maneja la compañía en sus momentos menos brillantes. El #Celebgate llevaba ya unas cuantas horas como trending topic así que podríamos pensar que esas 48 horas fueron todo lo que necesitaron los hackers para hacerse con las cuentas de Jennifer Lawrence y el resto de víctimas, salvo por...
iBrute utiliza un diccionario con las 500 contraseñas más comunes obtenidas a partir del célebre robo de 32 millones de cuentas que sufrió la compañía desarrolladora RockYou en 2009. Se supone que el diccionario ha sido filtrado eliminando todas las contraseñas que no cumplen con los requisitos de seguridad de Apple a la hora de elegir una, pero lo cierto es que precisamente uno de estos requisitos es que, y cito literalmente, "No puede ser una contraseña común".
Tras probar una decena de contraseñas de este diccionario, ninguna ha pasado el filtro del formulario de registro de Apple. ¿Puede funcionar alguna? Quizás. ¿Las víctimas usaban una de ellas? Todo es posible, pero seguiría habiendo un par de cabos sueltos: ¿Cómo han conseguido las direcciones de correo de las famosas? No es que sean precisamente de dominio público, y sin eso, no puedes realizar ningún ataque tan dirigido.
Y más importante aún, ¿ninguna de ellas sospechó de nada? Suponiendo que sí que tuviesen sus cuentas y contraseñas, el siguiente paso para conseguir las fotos y vídeos de una cuenta de iCloud es configurarla en otro equipo o dispositivo para poder sincronizarla. El problema es que incluso aunque no tengas activa la verificación de dos pasos (algo más que recomendable), sigues recibiendo una alerta en tus dispositivos actuales notificándote de que se acaba de añadir otro a tu cuenta.
Desconozco lo geeks que son o dejan de ser las famosas afectadas (aunque de JLaw me creo cualquier cosa, esta chica es genial) pero si por algo se caracterizan es por tener dinero suficiente como para poder contratar el AppleCare Protection Plan sin el más mínimo miramiento. "¿Hola? ¿Apple? Me ha salido esto en mi iPhone y no tengo ni idea de lo que es. ¿Podéis ayudarme?". Por supuesto, puede que todas ellas hayan pasado por alto el aviso, pero seguimos acumulando "puedes".
Dentro de la madriguera
Recordáis que el fallo de Buscar mi iPhone se publicó el viernes y todo el asunto del #Celebgate estalló el domingo a través de 4chan, ¿verdad? Pues no, el martes 26 ya había anónimos de AnonIB, un conocido foro de publicación de imágenes para adultos, hablando de las fotos de JLaw. Sí, cinco días antes.
Profundizando en el asunto la cosa se vuelve mucho más espeluznante que un simple fallo de iCloud, incluyendo un círculo clandestino de intercambio de fotografías de celebridades que lleva bastante tiempo oculto en la Deep Web, la Internet profunda formada por páginas no indexadas por los buscadores.
Tirando de este hilo algunas cosas cobran bastante sentido, incluyendo las declaraciones de Mary E. Winstead donde explica que hacía años que había borrado las fotografías junto a su marido ahora filtradas. Las imágenes no procederían de una única fuente, ni de un único hack, sino de un grupo que probablemente ha conseguido el material mediante muy diversos medios y lo ha ido intercambiando dentro de este reducido círculo a cambio de las fotografías y vídeos recuperados por el resto.
De confirmarse, la filtración de imágenes del #CelebGate se explicaría con un recién llegado al círculo que habría optado por romper el código del mismo y publicar el material que tenía junto al que había conseguido en sus primeros intercambios. En vista del revuelo, otros miembros del círculo habrían publicado más imágenes (previo pago de bitcoins) ante la oportunidad de hacer negocio, pero las fotografías y los vídeos más valiosos aún estarían en manos de la cúpula del grupo.
Como veis, la cosa da para escribir una novela de la que aún nos falta su capítulo final.
En Applesfera | Famosas desnudas y Apple en un mismo titular, el sueño de los medios #Celebgate
Ver 52 comentarios
52 comentarios
stansmith
Buen artículo, aunque le faltan aliens.
mustis
no solo han sacado informacion de icloud,tambien se ha demostrado que hay archivos de windows,dropbox y android,en algunas fotos de las celebs se ve como usan un movil con android,vamos que han tocado todos los palos
Lo que pasa es que a la peña le gusta cebarse con apple.
potatoeland
Me he conectado sólo para felicitarte por la investigación, bravo!
98979
Sobre lo de conseguir las cuentas de las celebridades es algo mas simple de lo que te crees. Sus representantes tienen su email. El email del representante es mas accesible, ya sea porque lo ha entregado personalmente, como accediendo a las agendas de otros trabajadores de la agencia (posiblemente tengan una lista de direcciones compartidas).
Trabajador de la agencia (direccion conocida) -> representante -> celebridad -> datos propios y contactos de otras celebridades -> etc...
mandinga10
Esto es un golpe fatal a la empresa casi determinante..
michel8585
Yo creo que es una conspiracion judeomasonica de Google, Microsoft, Facebook, Samsung, etc.
Seguro que han pagado a las famosas, para que posen desnudas y asi desacreditar a Apple ...
Apliquemos la logica, que es mas probable que alguien halla aprovechado un fallo de seguridad en el icloud, o que exista un grupo clandestino desde hace muchos años que se dedica a pasarse fotos de famosas desnudas, el cual funciona desde hace muchos años y se haga publico ahora ...
Y por cierto que el fallo de seguridad se hiciera publico el viernes, no significa que el fallo de seguridad no existiese antes, simplemente que se publico. No sabemos desde cuando existe ese fallo y durante cuanto tiempo ha podido ser explotado ...
palpatesta
El que hayan cubierto la vulnerabilidad después de su exposición (48 horas después de volverse día cero) no significa que únicamente tuviera ese tiempo de vida, este tipo de vulnerabilidades podrían tener meses incluso. Una de las formas mas eficientes de ocultarse en una vulnerabilidad utilizada por mucho tiempo es dándola a conocer...
Esto genera miles de intentos de acceso o accesos que ofuscan la información que se obtuvo del ataque. Es como arrojar billetes robados a la multitud para que no puedan identificar a quien robo la mayor parte
Usuario desactivado
Tema peliagudo este y no entiendo como Apple aun no ha dicho nada ante el revuelo que se ha montado. Si se confirma que es un fallo de seguridad que se vayan preparando, esto debe tener consecuencias, al menos para mi la privacidad es un asunto capital. Tal es así que, aun teniendo varios productos de Apple, nunca he sincronizado nada en iCloud y mucho menos fotos y vídeos personales, ni en iCloud ni en ningún otro servicio parecido. Se que no es fácil, pero siempre intento cuidar al máximo la privacidad mia y la de los mios y digo intento porque es imposible vivir en el anonimato en internet.
De todas formas este asunto tiene lagunas, al menos a mi me lo parece. Se que muchos hablan de argumentos conspiranoicos pero viendo el mundo en el que vivimos, no me extrañaría que ciertas acciones en determinados momentos se realicen de forma interesada y premeditada. Sospecho del momento y sospecho de la contundencia de los titulares. Mis elucubraciones a lo Iker Jimenez no se centra en la competencia precisamente, tema que ya se ha comentado, más bien sospecho de los tiburones financieros sin escrúpulos que a golpe de ratón compran hoy barato para vender muy caro el 10 de Septiembre, no digo que haya sucedido, digo que no extrañaría nada que sucediese.
Independientemente de ello y como ya he dicho al comienzo, si Apple es responsable directo su deber es darnos explicaciones y asumir su responsabilidad ante los afectados.
Usuario desactivado
Apple acaba de enviar un comunicado oficial negando cualquier brecha de seguridad tanto en iCloud como en Find My iPhone. Así que los chinos que siempre dan como culpable a Apple en cualquier cosa que pase, por favor, que se vuelvan a China. Aquí en Europa seguimos pensando ( al menos algunos ) que hasta que no se demuestre lo contrario se es inocente.
erpheus
Lo que dices de que es difícil que las cuentas tengan una contraseña común porque Apple las bloquea tampoco es tan cierto. Yo creé mi cuenta de Apple hace tiempo y mi contraseña no cumple varios de los requisitos.
warex3d
iFappening
ganarpasta
La culpa no es de Apple, pero el perjudicado es iCloud. A partir de ahora todo el mundo va a asociar iCloud al celebgate, ya no importa lo que se descubra. Supongo que dentro de poco le cambiarán el nombre porque está herido de muerte (publicitariamente hablando).
jcrm
En primer lugar diré q las teles y webs no tienen ni idea de donde han salido las filtraciones, oyen icloud y ya le ponen un culpable, pero es de sentido común que las fotos y videos tienen diversas fuentes. He visto las fotos y le hecho fotos parecidas a mi pareja, lo normal y esas fotos no las subo a ningun lado, nada en la nube y en el telefono las menos horas posibles, he visto fotos de JLaw con una buena c o r r i d a por la cara, pensemos con cabeza, ella una chica normal y corriente (de las famosas mas normales) no guardaria una foto así, me baso en mi pareja q me permite crear ese tipo de contenido pero en la vida ella llevaria algo así en su propio movil y menos aun la guardaria y menos aun la sincronizaria en su icloud o donde sea en la nube. Esas fotos han sido extraidas de un ordenador personal, si de vd quieres conseguirlas, plantas una furgo con antenas en la puerta de la mansión de Jlaw y a base de ekis ataques te metes en su wifi en su red telefonica, sustituyes su red verizon/ t&t/.. etc y en cuanto se conecte su pen drive, tablet pc ,mac, movil ella o su novio (q seguramente le hizo esas fotos) simplemente las robas. Culpar a apple es tonteria porque vale, imaginad que soy el tio q robo las 3 millones de cuentas y tengo acceso a todo, cuantos años me va a costar encontrar una cuenta de alguien conocido y luego tener la suerte q ahi haya contenido xx? 1000 fotos x usuario (3millones) = 3.000.000.000 millones de archivos, asi q descarto el ataque desde icloud y me inclino a pensar que son ataques determinados a personas determinadas y que las pobres no tienen intimidad alguna ni forma de defenderse, los videos estan por ahi y saldrán o no, pero eso el tiempo lo dirá.