S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité
Avatar de Crysalide INpactien
Crysalide Inscrit le mardi 24 mars 09 - 739 commentaires -
Les derniers commentaires de Crysalide :

Les scriptes ce modifie c'est tout ce que j'ai à dire.

T'en as déjà trop dit, balance !


En parlant de ça des hypothèses ont été avancées concernant le fait qu'une partie des photos pourraient venir d'une source autre que le cloud, notamment de la sphère privée des actrices. Le compte twitter Breaking3zero a une bonne théorie là dessus (et qui se base sur des faits réels, et sur le fonctionnement d'Hollywood où le marché de la photo dénudée est loin d'être anodin)

Je pense la même chose, il y a un réseau qui s'échange ça en faisant payer les collections les plus prestigieuses.
Je suis un proche d'un VIP, je récupère des photos, je les deale dans un réseau de personnes initiées où tout ça reste privé.

Ya plus simple : viser un service de conciergerie qui gèrent les données de VIP

C'est quoi ce que tu appelles un service de conciergerie ?
Une attaque en brute force ou par dictionnaire ? Je croyais qu'il y avait des limitations en tentative de saisie de mots de passe ?

5 essais mais le script en python était capable de passer outre le blocage à force de trop de tentatives, du coup, cétait free. :)

Après avec les logs, c'est facile de savoir l'intrusion.

Edité par crysalide le mardi 2 septembre 2014 à 22:48
Le souci, c'est comment les pirates ont obtenu les identifiants (j'entends login/username) des cibles, avant de hacker les mdp par brute force.

Sans doute que des piratages ont été faits avant pour récupérer des emails dans les listes de contact.

Et vu les images, je ne suis pas sûr que tout vienne de la fuite du Cloud mais peut-être de piratage depuis des mois ou années.
C'est vrai que faire de la brute force sur une API mal codée, c'est pas de la violation de système. Mais Apple se fout de la gueule de qui ? mdr2.gif

Demain, si je viens taper avec un pied de biche sur une porte renforcée mal fermée d'un magasin, vous croyez que le proprio va me dire que c'est pas une tentative d'effraction ?
Il y a quelques années, quand Minecraft faisait l'objet de papiers sur PCI, un certain aypierre postait pour un serveur spécial PCI.
La morale, c'est qu'au-delà l'insuffisante protection de l'appli mise en cause, on retombe toujours sur un pbm chaise-clavier, à savoir la faiblesse des mdp qui sont si simples qu'ils se retrouvent dans des listes de brute force.
En gros, l'API de l'appli n'avait pas d'anti-brute force pour retrouver son iPhone...
C'est bien codé.
Ce que j'ai du mal à saisir c'est que personne ne leur ait proposé dans leur entourage une solution maison comme "OwnCloud"
Trop compliqué à faire ou lui même trop peu secure ?

C'est plus simple, qd tu achètes un tél Android ou iPhone, la 1ère chose que tu as, c'est GG ou Apple qui te pressent de créer un compte Gmail et iTunes/iCloud pour utiliser leurs services (les stores surtout), donc les gens le font car sinon t'es relouté sans cesse.

Donc quand ces gens utilisent l'APN, hé bien tout va dans le cloud sans trop se poser de question.