Falha de segurança no iCloud teria possibilitado vazamentos de fotos íntimas de várias celebridades

O vazamento de fotos íntimas de celebridades, na grande maioria das vezes envolvendo nudez, não é nenhuma novidade. Em 2011, por exemplo, vazaram na web algumas fotos da atriz Carolina Dieckmann. Este caso teve uma grande repercussão e acabou gerando um grande debate em toda a internet. Isso culminou na criação de uma lei, que ganhou o nome da atriz, que prevê pena de 3 meses a um ano de reclusão para quem violar a privacidade alheia postando fotos íntimas na internet sem autorização. Nos Estados Unidos a situação ainda é mais severa. Um homem acusado de publicar sem autorização fotos íntimas da atriz Scarlett Johansson foi condenado a 10 anos de prisão! Mas parece que isso não serviu de exemplo e as pessoas continuam caçando registros da vida íntima de pessoas públicas.

Ontem começaram a ser publicadas no site 4chan, conhecido reduto underground da internet e que preza pelo anonimato, centenas de fotos de inúmeras celebridades, a maioria envolvendo nudez e poses sensuais. Mais de 100 celebridades tiveram suas fotos vazadas, dentre elas Avril Lavigne, Kate Upton, Selena Gomez, Mary Elizabeth Winstead e Jennifer Lawrence, ganhadora do Oscar de Melhor Atriz pelo filme “Jogos Vorazes”. Esta parece ser o caso mais grave, visto que até agora mais de 60 fotos dela teriam sido publicadas. Os responsáveis por isso estão pedindo um pagamento em bitcoins para publicarem mais fotos.

Seria apenas mais um caso de vazamentos de fotos íntimas se não fosse um pequeno detalhe: as fotos talvez tenham sido retiradas dos servidores iCloud, da Apple. Se você não sabe, o iCloud é um serviço de armazenamento e compartilhamento de arquivos na nuvem mantido pela Apple. Assim, todos que têm algum dispositivo da Maçã possuem uma conta no iCloud. A Apple gosta de se vangloriar da segurança de seus aparelhos e serviços e com o iCloud não seria diferente. Até agora não há nenhuma evidência de que algum hacker tenha sido bem sucedido em invadir o serviço, isso por si só já mostra a qualidade da segurança empregada pela Apple. Porém, eles podem ter conseguido isso agora.

A falha tem a ver com uma API do serviço “Buscar meu iPhone”, que localiza dispositivos Apple em caso de perda ou roubo. Um erro bem de principiante não negava o acesso após certo número de tentativas erradas de login. Assim, a empresa HackApp teve a ideia de criar um script em Python para literalmente descobrir as senhas e logins das celebridades usando força bruta, uma técnica tão velha quanto a posição de obrar. Essa técnica serve muito bem para senhas com pouca complexidade. Quanto mais complexa for a senha, mais difícil para ela ser descoberta se usando a técnica de força bruta. O script foi batizado de ibrute.

O pesquisador de segurança conhecido como Vinícius “K-Max” testou o script e disse que funciona, como você pode ler em um post no seu blog. Porém, como informa o The Next Web, a Apple já começou a corrigir essa falha e em alguns países o tal script já não funciona. Isso mostra que a Apple está corrigindo a falha por regiões. Os sites também estão se movendo para impedir que as fotos se espalhem ainda mais. O Imgr, por exemplo, está deletando as imagens o mais rápido possível. O Twitter disse que vai banir qualquer um que compartilhar as imagens. E a atriz Jennifer Lawrence disse que processará aqueles que compartilharam as imagens. Olha que ela tem dinheiro e influência pra pagar os advogados pra isso.

E mais uma vez, assim como acontece toda vez que um caso desse vem à tona, vamos repetir algumas recomendações de segurança pra lá de manjadas mas que muita gente ignora solenemente. Primeiro: habilite a verificação em duas etapas dos serviços web e aplicativos que você usa. Assim, mesmo que alguém consiga descobrir a sua senha ele ainda precisará de um código de confirmação, que é enviado por SMS ao seu celular. Segundo: não use a mesma senha em todos os serviços que usa. Você usa a mesma chave pra abrir a sua casa, o seu carro, o seu escritório ou o seu cofre? Não, né? Pelo mesmo motivo você deve usar senhas diferentes em cada um dos serviços em que é ativo. Eu sei, é chato e nada prático, mas pra isso que existe a nossa terceira dica. Terceiro: use gerenciadores de senhas. Existem muitos programas excelentes para você gerenciar suas senhas. Com eles, você poderá criar senhas complexas e salvá-las para uso posterior dentro do próprio programa que, por sua vez, criptografará todas elas. Dois bons exemplos são o KeePass Password Safe e 1Password.