Apple bekräftar intrång i kändisars användarkonton på molntjänsten Icloud

Det kan även vara ett utnyttjande av "forgot my password" med dåliga säkerhetsfrågor eller att användarna använt samma lösenord på andra platser. Nummer ett av dessa är nog det vanligaste problemet idag när alla lägger upp sitt hela liv på Facebook/Instagram osv, inte svårt att ta reda på deras husdjurs namn och vad nu folk sätter sina säkerhetsfrågor till.

Att de sitter och använder brute force för att ta sig in på så många olika konton känns inte sannolikt, även om de har haft oändligt antal försök på sig. Att Apple sedan säger att det inte var via säkerhetsbristen i "Find My iPhone" som var boven gör ju att det känns än mer osannolikt. Att man kan se ett samband betyder inte att ett samband existerar.

Är det ens bekräftat att alla läckor kommer från iCloud eller endast den senaste tiden? Vad jag förstått har bilderna stulits under en längre tid från olika platser.

Det finns fler sätt att få tag på lösenord än att hacka Apple, säg att en kändis hade sitt lösenord på en lapp på kylskåpen och någon tittade på den med en kikare från gatan, då skedde inget "hack" och hackern kunde dessutom logga in på första försöket. Lite svårt för Apple att skydda sig mot slarviga användare.

In most cases, your Apple ID is also the primary email address of your Apple ID account.

Använder du långa och unika lösenord?

Fast, man måste skilja på själva intrånget i deras privatliv, med vad de tjänar på detta.
Det är ju inte direkt så de går lottlösa ur detta rent ekonomiskt, då troligen försäljningen av deras verk ökar nu när de uppmärksammas.

Ja, det är ett intrång, men vems fel är det? Apple´s? deras egna? någon annans?

Det finns ju ingen säker källa som kan säga att det beror på x eller beror på y. Login uppgifter till deras konton kan likväl ha blivit tagna i något annat hack, eller databasläcka på en sida. Saken är ju den att de flesta återanvänder samma mailadress, lösenord etc till fler sidor/inloggningar, och har sida Z då en säkerhetsbrist så kommer resterande X eller Y sidor med på "köpet", oavsett om sida X eller Y inte har en säkerhetsbrist i sig utan att de kom åt sida X eller Y genom de uppgifterna de fått från sida Z.

Och de har ju "själva valt" de yrket de har, och då så vet de att det är en hets/efterfrågan på vissa saker, klarar de inte med det så välj inte det yrket. Rätt enkelt.

Sen borde ju de som har mer uppmärksamhet kring sig vara ännu mer försiktigare än vad en "vanlig svensson" är.
Som att de ex borde ha separat inloggning till synkning mot vad de har till mailen, tänka på att inte synka sådana bilder med sin mobvil, surfplatta, dator eller ens ta dessa bilder från första början.

För de som blivit drabbade är ju inte nyfödda och borde således veta att:
1. Tjänster är aldrig 100% säkra.
2. Tänk på vad du har för material i exempelvis telefon, surfplatta, dator, eller annan lättåtkomlig elektronik som kan "få fötter" och hamna i orätta händer.
3. Tänk på vilka tjänster som du nyttjar, är man kändis så kanske man inte ska registrera sig på alla möjliga tjänster som finns. (vilket leder till punkt 4.)
4. De tjänsterna som nyttjas, ha då separat inloggning för exempelvis synkning av bilder, dokument, och liknande saker än vad som används för mailadress då du tar emot / skickar mail.

Bara att ha separata inloggningar enligt punkt 4 skulle sänka sannolikheten för att drabbas av intrång till rätt låga nivåer.
Så istället för att ha: kate.upton@icloud.com (eller vilken tjänst det nu är) för att synka dina bilder, dokument och liknande så skulle ett byte till något randoom som exempelvis: y2VyVUDCTKWgA8Xt4fTEdsTvRb9DYd@icloud.com ge ett stort lyft i att minska sannolikheten för intrång mot just din synknings inloggning sker.
(y2VyVUDCTKWgA8Xt4fTEdsTvRb9DYd kommer ur en randoom password generator).

Så:
Det är inte synd om dem egentligen, då de säkerligen inte lider av detta utan snarare vinner på detta. Men det är på ett sätt ett intrång mot deras personliga integritet. Vilket de skulle kunna motverkat till en stor del genom lite högre säkerhetstänkande själva.
Och det får även upp ögonen världen runt om säkerheten ännu en gång, vad gäller inloggningar till online tjänster att ha bra, säkra och olika lösenord på olika sidor.

Som ni märker är det inte mycket "hacker"-arbete, utan mer socialvetenskap och forskning. (I brist på annan bättre beskrivning)

Foliehatten i mig vägrar svara på frågan

Hackers Using Law Enforcement Tools to Access iCloud Backups Unprotected by Two-Factor Authentication
"... ...
Greenberg visited Anon-IB, a popular anonymous image board where some of the celebrity photos first originated, and discovered that hackers openly discuss exploiting software designed for law enforcement and government officials. Called ElcomSoft Phone Password Breaker (EPPB), the software in question lets hackers enter a stolen username and password to obtain a victim's full iPhone/iPad backup.
...
As noted by TechCrunch, using ElcomSoft's software to download an iPhone's backup successfully circumvents two-factor verification as the two-factor authentication system does not cover iCloud backups or Photo Stream.
..."

Någon som kan svara på hur säkert två-stegs verifiering är? Är man helt säker om man har det aktiverat? Någon av dessa kändisar som hade det aktiverat? Om man är mega-famous kan man ju tänka sig att man tänker en extra gång och inte väljer ett classic-lösen med personnr, husdjur etc... Dom har väl anställda som ska sköter säkerhetstänk för dom?

Jo, jag läste om den appen och skulle också ha satt mina pengar på att det var så det gick till. Men om Apple själva säger att det inte var via den appen som attacken skedde så får man väl lita på dem.

som icke-kändis med en mail-adress som inte finns överallt, är man tillräckligt säker...
sen ska man också tänka att en vanlig användare/kändis vill kunna logga in snabbt & enkelt... man har ingen lust att skriva 30+ tecken lösenord på sin iPhone eller vänta på verifiering från 10 olika håll, för att sedan fortsätta sin dag med jobb/nöje eller vad man sysslar med...

en hacker däremot (eller 100 hackers) gör inget annat 24/7 än letar svagheter.. tex om dom fått tag på en mail-adress/användarnamn, sitter dom tills "jobbet" e klart

Jo, det är ju relevant eftersom artikeln delvis handlar om att det inte var just detta säkerhetshål som användes. Håller med om att det är konstigt att stora företag som Apple inte har skydd mot sådant. Det känns som att de bör ha en någorlunda välarbetad struktur för säkerhet vid detta laget.

Vad jag förstod så var det aldrig bruteforce som användes utan rätt lösenord gissades fram efter en lång tids försök av ett antal samlare. Speciellt på säkerhetsfrågorna som var lätta att gissa rätt på i offrens fall. De som inte drabbades hade bättre säkerhetsfrågor och lösen. Dessutom skedde de inte under en natt utan har samlats ihop under månader/år.

Skickades från m.sweclockers.com

Är inte den en typ av Social Engineering? Där man går på personkunskap snarare än brute force, även om de flesta former av social engineering innebär fysisk access och lite mindre bedrägerier/lögner?