Cibercriminoso teria usado iCloud para invadir contas de famosas e divulgar fotos íntimas
O vazamento de conteúdos íntimos não é novidade na internet. Logo, o episódio do último fim de semana poderia passar como mais um caso entre tantos, se não fosse por um importante detalhe: de acordo com o autor das fotos expostas, o episódio aconteceu por uma suposta falha no iCloud, sistema de armazenamento em nuvem da Apple.
Um usuário do site de compartilhamento anônimo 4Chan diz ter descoberto a brecha e, a partir dela, acessou contas de quase cem celebridades – entre elas as atrizes Jennifer Lawrence, Kate Perry, Cara Delevingne, entre outras. Apesar de alguns dos conteúdos terem sua autenticidade questionada pelas equipes de comunicação das vítimas, a assessoria de imprensa de Jennifer Lawrence já confirmou a veracidade das imagens e afirmou que irá contribuir para as investigações.
De acordo com blogs de tecnologia, um trecho do código com o xploit foi divulgado em alguns fóruns, como o github, supostamente usado no incidente. Seria um brute force via HTTP basic, em uma API usada pelo iCloud. Aparentemente, a função comprometida está ligada ao recurso Find My iPhone, localizador do aparelho em caso de furtos ou extravios.
A suposta vulnerabilidade começa a acender o alerta para milhões de usuários de iPhone e iPad – muitos deles corporativos. Seja com a tendência de traga seu próprio dispositivo (BYOD) ou até mesmo com aparelhos cedidos pela companhia, não é incomum profissionais usarem o recurso da câmera ou de notas para armazenar informações corporativas sensíveis. Em alguns casos, dependendo da configuração dos aparelhos, é feito backup automático do conteúdo na nuvem. Sem mencionar o recurso de backup de email, contatos, e outros.
Até a manhã desta segunda-feira (1º/9), a Apple não havia divulgado nenhum comunicado e, procurada pela equipe do IT Forum 365, não respondeu à solicitação para comentar o caso. Contudo, nesta segunda-feira (1º) a empresa teria corrigido uma falha no Find My iPhone, aumentando as suspeitas. De acordo com o pesquisador de segurança Alexey Troshichev, foi possível combinar a falha com uma série de senhas e ter acesso às contas.
Aparentemente, a brecha foi revelada na Conferência Def Con na Rússia, no último dia 30 de agosto — o que leva a crer que as fotos vazadas foram coletadas ao longo de anos, e não apenas em um dia.
Alguns especialistas de segurança ainda questionam que a falha poderia ter sido de outro serviço em nuvem, o Dropbox. Essa informação também não foi confirmada.
Crime
No Brasil, um caso semelhante de invasão de conteúdos eletrônicos culminou na lei 12.737/2012, sancionada em dezembro de 2012 pela presidente Dilma e responsável por alterar o código penal a fim de incluir a tipificação específica de crimes eletrônicos. A lei foi conhecida como “Lei Carolina Dieckmann”, em relação à atriz envolvida no episódio.
À época, a Polícia Civil do Rio de Janeiro localizou quatro suspeitos de terem cometido o crime, na faixa dos 20 anos e um menor. A invasão aconteceu por meio de um software mal intencionado enviado via email.
