Paranoia Hack Martes, 2 septiembre 2014

The Fappening: No solo las famosas pueden ser hackeadas, conoce los peligros de la Nube

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

El 1 de setiembre se filtraron de manera masiva fotografías íntimas de 100 celebridades de Hollywood, en un evento conocido en 4chan como The Fappening. Decidimos indagar cómo se realizó el hackeo a las cuentas de estás irresistibles mujeres, divas que ahora saben que no pueden confiar su privacidad a una aplicación, no importa si es de iOS o Android, nada es 100%. Veamos como hackearon a las celebridades por icloud y qué otros peligros existen en la nube.

jennifer-lawrence-and-hacker-icloud

Como muchos deben saber, el ataque fue por medio del script llamado iBRUTE desarrollado en Python, programa que capaz de descifrar la clave de la cuenta por medio de intentos repetitivos hasta dar con la clave, esto se llama un ataque de ‘Fuerza bruta’, el archivo contiene miles de palabras (contraseñas) que el script cruza con la cuenta hasta chuntar con la clave, cabe señalar que las contraseñas casi siempre son débiles por tener pocos caracteres o ser palabras muy comunes. Todo el ataque fue por medio de una vulnerabilidad en la aplicación “Find my iPhone” que se conecta el ID del usuario. Asimismo, cabe señalar que icloud no tomó la precaución de bloquear las cuentas a donde si intentaba un logueo tras intentos repetitivos. Y a pesar que la falla solo duró dos días, resultó letal para las famosas,  Apple parchó esta vulnerabilidad a las 3:20 a.m, sin embargo, ya era tarde para 300 millones de usuarios de su nube icloud, incluido celebridades como Jennifer Lawrence, Kirsten Dunst, Lea Michele, Kate Upton, Victoria Justice, Arianna Grande, Kaley Cuoco entre otras.

iBRUTE-python

leak-icloud-lawrence_

Más servicios de la nube en peligro

¿Pensabas que sólo los famosos están expuestos a ataques con programas extraños? ¡Pues te equivocas! Tampoco es algo exclusivo de icloud, ya antes habiamos advertido que DropBox filtraba archivos por Google. Igual que en la vida real cualquier objeto puede usarse como un arma, en Internet sucede algo similar,  un ejemplo es Google, herramienta con la que podemos buscar fallas de privacidad que muchos usuarios desconocen, vulnerabilidades que las empresas conocen pero no les interesa corregir, a pesar de notificarlos. Paso a detallar algunas fallas de seguridad ubicables con Google para que vean que no hay necesidad de mucho conocimiento. Luego de esto tengan cuidado de subir archivos íntimos a la nube, la seguridad y privacidad al 100% no existe en Internet.

 

EVERNOTE

evernote-falla-seguridad-dorkTiene más de 45, 400 archivos filtrados. Ya ha sido advertido pero no lo soluciona.

GOOGLE DRIVE

google-drive-falla-seguridad-dork

Tiene más de 5, 860 archivos filtrados.

DROPBOX

dropbox-falla-seguridad-dorkTiene más de 487, 000 archivos filtrados.

PICASA

picasa-falla-seguridad-dork

 Picasa tiene alrededor de 30, 800 archivos filtrados.

DIRECTORIOS EN LA NUBE

directorios-nube-falla-seguridad-dork Existen un aproximado de 9, 800 archivos filtrados en distintos servicios de la Nube.

 

BwgjTKrIIAAIX6V

PRECAUCIONES:

•    Que sus contraseñas tengan más de 8 caracteres.
•    Las claves deben tener caracteres ‘alfa numéricos’.
•    La contraseña debe tener al menos una letra en mayúscula.
•   El password debería llevar una palabra mal escrita.
•    No tener varias cuentas con el mismo password.
•    Activar  la verificación de dos pasos, como existe en Google.
•    Que tus claves no sean palabras comunes.
•    Cambiar la contraseña con regular frecuencia.

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.