iCloud: violati gli account VIP e non solo!

Jennifer Lawrence, Kaley Cuoco, Avril Lavigne, Kate Upton, Ariana Grande, Lea Michele, Kirsten Dunst: sono solo alcuni dei nomi coinvolti nel più grande leak di immagini e video intimi di celebrità sul web. Nel forum del popolare sito 4Chan, precisamente sul famoso canale /b/, un utente ha dichiarato di essere in possesso del materiale: foto seminude di celebrità, alcune senza censure, insieme a clip osé, rubate dalla propria collezione privata. In cambio ha chiesto donazioni PayPal o pagamento con Bitcoin: insomma, soldi, fornendo anche alcuni screenshot di anteprima che mostrano clip e foto delle celebrità in questione.

4Chan.org

4Chan.org

Non è ancora chiaro come tutto ciò sia potuto accadere e come l’hacker abbia messo le mani su questi contenuti, ma l’utente anonimo di 4Chan ha scritto di aver raccolto il materiale tramite gli account iCloud delle celebrità. Questo account in sostanza permette di sincronizzare immagini, video, informazioni sul calendario ed altri dati tra più dispositivi come iPhone, iPad o Mac, anche se il servizio è stato più volte criticato per essere alquanto confusionario. Sono coinvolti anche altri servizi di cloud storage, come ad esempio DropBox, ma attualmente non ci sono certezze e dettagli su come queste foto e clip siano trapelati.
Jennifer Lawrence, che ha confermato la veridicità delle immagini, si lamentò già del servizio iCloud in una passata intervista ad MTV. Famosa per la serie di pellicole Hunger Games, ha rilasciato una dichiarazione a BuzzFeed tramite un suo portavoce, parlando di “grave violazione della privacy” ma anche del fatto che le autorità sono state allertate e chi posterà le foto rubate potrà essere perseguito dalla legge.

Ovviamente il portavoce non ha spiegato nel dettaglio i pericoli che potrebbero incorrere coloro che condividano tali immagini: Mashable intanto riporta che su Twitter in molti account si sono già viste diverse foto delle “vittime”, non censurate: questi account sono stati immediatamente sospesi. Le foto sono quindi autentiche, confermate anche da altre persone coinvolte come Mary Elizabeth Winstead a Becca Tobin.

Non è di certo la prima volta che accade un leak di foto intime di celebrità, di certo non così massiccio: nel 2012 toccò a Scarlett Johansson e MIla Kunis. L’autore del leak fu scovato e condannato a 10 anni di carcere. Non è chiaro neanche per quanto tempo l’hacker (o gli hacker, si sa ancora poco) abbia speso a costruire questa libreria di immagini, prima di postarle. Mary Elizabeth Winstead, personaggio femminile di Scott Pilgrim vs the World è un’altra vittima del leak, ma le sua immagini postate ieri sono state scattate e rimosse anni fa.

One Twitter user, whose account has since been suspended, posted that TMZ was attempting to purchase a trove of photos, and the anonymous 4chan uploader specifically referenced the gossip site in a 4:13 pm post, writing “I’d rather you get them than TMZ.”

Un utente Twitter, il cui account è stato poi cancellato, ha postato che la rivista TMZ stava tentando di acquistare le foto ed era in procinto di pubblicarne alcune di almeno 20 celebrità. Gawker riporta che l’hacker in questione ha preferito venderle prima alla comunità di 4Chan.

 

Twitter

Twitter

 

Come se non bastasse, in rete è stata pubblicata anche una lista che riporterebbe tutte le celebrità coinvolte nel leak, tra cui si leggono Kim Kardashian (e non è di certo la prima volta) e Rihanna, per un totale di almeno 100 star.

Ma tutto questa storia solleva un dubbio, una domanda alquanto semplice: quanto è sicuro mantenere i propri dati, password, foto e video sugli spazi cloud attualmente a disposizione? Poco, molto poco. Lo sostiene anche Mat Honan, giornalista di Wired che in un lungo racconto ha spiegato recentemente come ha perso in un solo colpo tutta la sua vita digitale, non a causa di sofisticati hacker in grado di intrufolarsi in qualsiasi sistema informatico: sono bastate delle falle e bug di sicurezza.

Consapevoli di tutto ciò, è necessario comprendere che in rete nulla è inviolabile: si possono solo aggiungere più lucchetti per rallentare la breccia. Basterebbe scattare foto con dispositivi non connessi ad internet. Il problema, però, non riguarda solo la questione delle foto intime trapelate in rete, ma temi ancora più seri: nelle foto sono contenuti altri dati ben più sensibili come coordinate GPS, con conseguenti rischi di stalking. E un leak del genere potrebbe non colpire solo le celebrità, ma anche “normali” utenti Apple o di altri servizi di cloud storage.

Per i curiosi dell’ultim’ora: attenzione perché generalmente i criminali informatici sfruttano queste ghiotte occasioni per creare file fake con lo scopo di diffondere virus e malware.

AGGIORNAMENTO ORE 14.50: Inizialmente tutta la colpa del leak è stata data al servizio iCloud. The Indipendent è riuscita a contattare Apple, che però non ha voluto rilasciare alcun commento. Con il passare delle ore ci si rende conto che probabilmente i contenuti possono essere stati trafugati anche da altre vie e le teorie in rete sono varie e disparate. Tutte ipotesi, data la situazione in costante evoluzione: eccone alcune.

Tutta colpa di iCloud – l’utente che ha condiviso le foto su 4Chan dice di essere entrato in possesso degli account delle celebrità, ma potrebbe non essere tutta la verità. Le foto possono essere emerse a causa di una pratica di hacking chiamata “social engineering”. Basta sapere quale servizio online usa l’obiettivo, partire da lì per poi rubare quanti più dati possibile violando l’account email. Tutti sapevano che Jennifer Lawrence usasse iCloud grazie all’intervista ad MTV. Le analisi dei dati EXIF (che indicano dove e quando viene scattata la foto) incluse in una delle foto della Lawrence indicano che sono state scattate alcune settimane fa, mentre, come già detto, l’attrice Mary Elizabeth Winstead ha dichiarato che ha scattato le sue foto trapelate “anni fa”. Che la raccolta di queste foto e dati faccia parte di una ben più grande, “a strascico”, e non riguardante solo le celebrità?

Tutta colpa di Dropbox o Google Drive – nelle foto trapelate, tra cui moltissimi selfie, non si vedono solo iPhone. Ci sono molti device Android e webcam, mentre i video trapelati potrebbero non essere stati girati dal servizio iCloud photo backup. Il range dei dispositivi usati significa che altri servizi come Dropbox o Google Drive potrebbero essere l’origine delle foto rubate: tutte e due i servizi offrono infatti un backup automatico di video e foto importati dagli smartphone.

Tutta colpa di Snapchat – in molte foto c’è un testo sovrapposto, il che indica che una parte sono state inviate attraverso Snapchat (e data la natura del servizio, è probabile). L’azienda ha già subito in passato un attacco, ma è altamente improbabile che l’app sia la fonte di tutte queste foto e video. Potrebbero essere state prese da un hack più grande.

Tutta colpa di un insider – i device di molte celebrità sono gestiti da assistenti (per le cose noiose). Potrebbe essere che qualcuno di questi abbia salvato qualche foto di nascosto.

Tutta colpa di un collettivo di hacker – il thread originale su 4Chan include due utenti che postano nuove immagini. E’ possibile, quindi, che il leak non provenga da un solo hacker ma da un gruppo che si è unito per guadagnarci. Non tutte le foto postate in quel thread sono vere, ma questa potrebbe essere un’ipotesi plausibile.

Tutta colpa di uno script in Python – su Github circolava uno script in Python che avrebbe permesso di violare molti account a causa della vulnerabilità in “trova il mio iPhone”. Apple ha comunque fixato il tutto.

 

Fonte: ibtimes