Link alla notizia: http://www.hwfiles.it/news/itunes-e-apple-store-sotto-attacco-account-degli-utenti-violati_33144.html

Un attacco condotto da parte di malintenzionati ai danni di iTunes e dell'App Store di Apple ha causato la violazione dell'account di diversi utenti. Utilizzati i dati delle carte di credito per effettuare acquisti

Click sul link per visualizzare la notizia.

ma sui server apple gira una sottoforma di edizione server di osx?

ma sui server apple gira una sottoforma di edizione server di osx?

può darsi come può darsi che usino piattaforme linux anche se è possibile che per immagine usino proprio batterie di xserve


leggendo la news il controllo qualità delle app ha bucato in pieno, ok che ci sono migliaia di app nuove ogni giorno ma un maggior controllo sarebbe utile.

a meno che i programmatori non si siano affidati al social engeneering e contro quello non c'è nulla da fare a parte abituare gli utenti a essere diffidenti con tutto

a meno che i programmatori non si siano affidati al social engeneering e contro quello non c'è nulla da fare a parte abituare gli utenti a essere diffidenti con tutto

è la prima cosa che ho pensato, ma siccome si parla di attacco sembra appunto un attacco.
Sennò si sarebbe parlato di phishing, penso.

comunque boh non ho capito nemmeno io

Non si conoscono i dettagli dell'attacco. Propendo però per il cancro delle password banali, una malattia di difficile cura. :(
Non a caso è stato anzitutto consigliato di cambiare la password. Placebo? Non so, vedremo.

Per le App approvate, !fazz, sono stati fatti tanti soldi con libri ed App che pur essendo di scarso interesse, non avevano nulla che non andasse. Non vengono rigettate App solo perché al recensore non viene in mente una sola persona che vorrebbe comprarsela :)

può darsi come può darsi che usino piattaforme linux anche se è possibile che per immagine usino proprio batterie di xserve


leggendo la news il controllo qualità delle app ha bucato in pieno, ok che ci sono migliaia di app nuove ogni giorno ma un maggior controllo sarebbe utile.

a meno che i programmatori non si siano affidati al social engeneering e contro quello non c'è nulla da fare a parte abituare gli utenti a essere diffidenti con tutto

questa è la fragilità di un sistema chiuso. coi J2ME, non essendoci uno store centrale, c'è meno interesse ad architettare una truffa del genere

spiace che pure android vada nella stessa direzione

Non si conoscono i dettagli dell'attacco. Propendo però per il cancro delle password banali, una malattia di difficile cura. :(
Non a caso è stato anzitutto consigliato di cambiare la password. Placebo? Non so, vedremo.

Per le App approvate, !fazz, sono stati fatti tanti soldi con libri ed App che pur essendo di scarso interesse, non avevano nulla che non andasse. Non vengono rigettate App solo perché al recensore non viene in mente una sola persona che vorrebbe comprarsela :)

leggendo il blog in inglese linkato nell'articolo pare che su applestore sono spuntate alcune rogue application che hanno in qualche modo sottratto le credenziali di itunes o con l'inganno (social engeneering) o sfruttando vulnerabilità, (non si sa come hanno operato)

queste credenziali sono stare utilizzate su itunes store per comprare svariate applicazioni inutili ad alto costo (appsFarm) ovviamente sviluppate dagli stessi developer con lo scopo di sottrarre soldi

Quando ieri l'ho saputo, ho subito levato i dati della carta di credito (e dubito li reinserirò mai più, a questo punto).

Quando ieri l'ho saputo, ho subito levato i dati della carta di credito (e dubito li reinserirò mai più, a questo punto).
Io li ho tolti in attesa di una presa di posizione ufficiale della Apple.
Se arriverà e la riterrò ragionevole, reinserirò i dati.
Qualora fosse stato veramente causato da un attacco brute force con un qualunque dizionario comune, non sarebbe totalmente colpa di Apple quanto più dell'utente incauto.

Incauto? In quale modo?
Io utente medio mi aspetto che i dati siano criptati, stop.

Io li ho tolti in attesa di una presa di posizione ufficiale della Apple.
Se arriverà e la riterrò ragionevole, reinserirò i dati.
Qualora fosse stato veramente causato da un attacco brute force con un qualunque dizionario comune, non sarebbe totalmente colpa di Apple quanto più dell'utente incauto.

Presa di posizione di Apple ?
Che ti aspetti che ti dicano ?
Se fosse un buco del loro sistema pensi che ti dicano "ops ... colpa nostra!" ?

queste credenziali sono stare utilizzate su itunes store per comprare svariate applicazioni inutili ad alto costo (appsFarm) ovviamente sviluppate dagli stessi developer con lo scopo di sottrarre soldi
Se fosse vero questi dev sarebbero subito rintracciati visto che per essere dev ufficiali di App Apple devi dare ogni tipo di dato personale e accettare un contratto che da loro ogni possibilità d'agire in casi come questo.

Presa di posizione di Apple ?
Che ti aspetti che ti dicano ?
Se fosse un buco del loro sistema pensi che ti dicano "ops ... colpa nostra!" ?
Apple: colpa del software!
Gobbo: Ma cosa dici! Quella era la scusa per l'iPhone! Qui dovevi dire HARDWARE. HARDWARE! ...
:sofico:

vero è che devi anche trovare un modo per associare chi ha fatto l'attacco al creatore delle applicazioni costose comprate. Se io ti do i miei dati per mettere sul tuo store una applicazione costosa non vuol dire che sono io che poi ti attacco il sistema e compro con i soldi altrui la mia applicazione :) anche se ci sta come cosa :) comunque si vedrà.

Presa di posizione di Apple ?
Che ti aspetti che ti dicano ?
Se fosse un buco del loro sistema pensi che ti dicano "ops ... colpa nostra!" ?
Esattamente. :)

Incauto? In quale modo?
Io utente medio mi aspetto che i dati siano criptati, stop.

se hai una pwd del cavolo e ti bucano l'account indovinandola la colpa e' solo tua

Presa di posizione di Apple ?
Che ti aspetti che ti dicano ?
Se fosse un buco del loro sistema pensi che ti dicano "ops ... colpa nostra!" ?

Diranno che c'è un errore nella formula che calcola la sicurezza dei loro sistemi, mostra cinque tacche ma in realtà sono solo due

Diranno che c'è un errore nella formula che calcola la sicurezza dei loro sistemi, mostra cinque tacche ma in realtà sono solo due
Per risolvere passeranno all'algoritmo mirosoft.
Quando viene bucato non lo dice a nessuno. :rolleyes:

Lasciamo perdere, va.

Come immaginavo il comunicato è giunto e, come temevo, dice tutto e niente.
Hanno solo bannato il vietnamita per ave infranto l'accordo di utenza dell'App Store. Nessun dettaglio in più.

E gli utenti frodati? Si fregano?

E gli utenti frodati? Si fregano?
In attesa di nuova presa di posizione della Apple basta salire di un livello di astrazione: si contatta chi ci fornisce la carta di credito e si contestano le spese non effettuate personalmente.
Talvolta si viene anche rimborsati, altre volte semplicemente viene bloccata la carta.

In ogni caso non credo siano stati presi dati sulla carta di credito: semplicemente avendo la password il malintenzionato ha potuto acquistare quel che ha voluto. Della carta solo visibili solo le ultime 4 cifre. Il codice di sicurezza è oscurato per intero.

Sono curioso di sapere come andrà a finire... alcuni hanno avuto addebiti di centinaia di dollari, e se ne sono accorti dopo le canoniche 24 ore prima delle quali molti store non effettuano il reale addebito.
Forse è buona cosa attivare il servizio che offrono molte banche, che ti avvisa via sms di ogni movimento c/c.

Comunque a me pare un non-problema, visto che gli attacchi verso siti che offrono servizi/registrazioni di dati sensibili ci sono sempre stati e sempre ci saranno; è l'utente che deve essere sveglio e aggiornato.
Visto che la sicurezza al 100% nessuno può offrirla e che siti come questo sono uno degli obiettivi primari degli hackers internazionali, bisogna attuare delle contromisure, tipo prendere le carte ricaricabili, metterci di volta in volta una cifra contenuta ed effetttuare i pagamenti. Rischi pari a zero.

la sicurezza per gli acquisti con carta esiste con un sistema sicuro al 99,9 solo che le banche non vogliono decidersi a comprarlo perchè hanno già investito soldi in altri sistemi :)

la sicurezza per gli acquisti con carta esiste con un sistema sicuro al 99,9 solo che le banche non vogliono decidersi a comprarlo perchè hanno già investito soldi in altri sistemi :)
Ah si?
E quale?

Visto che la sicurezza al 100% nessuno può offrirla e che siti come questo sono uno degli obiettivi primari degli hackers internazionali, bisogna attuare delle contromisure, tipo prendere le carte ricaricabili, metterci di volta in volta una cifra contenuta ed effetttuare i pagamenti. Rischi pari a zero.

Non sono d'accordo. Con la ricaricabile è vero che al massimo perdi quel che ci sta, ma essendo una carta di debito, se ti vengono sottratti soldi è molto più difficile vederseli riaccreditare. Con la carta di credito è invece assolutamente normale: basta segnalare il tutto tempestivamente e non si perde un centesimo.
Uso carte di credito su Internet dalla fine del 1998 e non ho ancora perso un cent (a suo tempo, una lira). Le carte di credito sono estremamente sicure, altro che! :)

Guarda appena viene acquistato da qualche banca o da qualche operatore poi ti spiego che progetto è. Attualmente è tutto in fase di sviluppo e non ti posso dire niente perchè è cosa che mi riguarda direttamente. Ma se ci sono sviluppi te ne parlo e te lo spiego volentieri :)