Furto di foto hot delle VIP: iCloud non ha colpa

Furto di foto hot delle celebrity a stelle e strisce: iCloud e Apple non hanno alcuna colpa. È questo l’esito delle immediate indagini svolte da Cupertino a seguito dello scandalo hard: la pubblicazione in Rete di centinaia di scatti compromettenti di attrici e showgirl, tra cui Jennifer Lawrence, Kate Upton, Kirsten Dunst, Rihanna e tante altre. La nuvola targata mela morsicata è quindi sicura, le vittime avrebbero subito degli attacchi mirati indipendenti dall’azienda e dai suoi servizi.

A seguito della pubblicazione degli scatti hard delle dive statunitensi sulla piattaforma 4Chan, i riflettori non si sono accesi soltanto sulle grazie ritratte, ma anche su Cupertino. In molti hanno puntato il dito contro l’azienda californiana, accusandola di non offrire sufficiente sicurezza per lo storage sulla nuvola di iCloud. Critiche alimentate dalle stesse VIP coinvolte, con Kirsten Dunst in prima linea e pronta a pubblicare un sarcastico «Grazie iCloud» sul suo profilo Twitter. Una polemica che ha spinto la Mela all’azione, con una verifica completa dei propri sistemi per la scoperta di eventuali falle e minacce per la privacy degli utenti. A circa 48 ore di distanza, il responso: la nuvola di Cupertino è sicura, non vi sono particolari rischi per l’utilizzo, se non quelli di buonsenso. Quello che sarebbe evidentemente mancato alle celebrity colpite nello scegliere password troppo semplici e domande di sicurezza elementari. Proprio così: il grande leak è stato possibile da azioni di “brute force” sugli account delle dive. Ovvero con la scoperta delle password con sofisticati software di generazione casuale, abbinati a domande di sicurezza facilmente intuibili.

«Abbiamo voluto fornire un aggiornamento sulla nostra indagine riguardo al furto di foto subito da alcune celebrity. Quando abbiamo appreso del furto, ci siamo sentiti oltraggiati e abbiamo mobilitato i nostri ingegneri per scoprirne la fonte. La privacy e la sicurezza dei nostri clienti è per noi di fondamentale importanza. Dopo 40 ore di indagini, abbiamo scoperto come certi account siano stati compromessi da attacchi molto mirati su nomi utente, password e domande di sicurezza, una pratica diventata troppo comune su Internet. Nessuno dei casi analizzati è derivato da brecce nei sistemi Apple, inclusi iCloud e “Trova Il Mio iPhone”. Continueremo a lavorare con le autorità per aiutare l’identificazione dei criminali coinvolti. Per evitare questo tipo di attacchi, consigliamo a tutti gli utenti di utilizzare sempre una password efficace e di abilitare la verifica a due step dell’account.»

In altre parole, non è Apple a non aver fornito un sistema sufficientemente sicuro, ma sono le personalità coinvolte a non aver prestato sufficiente attenzione alla sicurezza dei loro account. Password di all’incirca 5 caratteri, così come reso noto già nel 2010 dall’Office Trustworthy Computing Team (TWC) di Microsoft, possono essere svelate da software di generazione casuale dai 19 minuti agli 8 giorni di esecuzione, a seconda siano presenti o meno simboli e numeri. Una parola chiave di 9 caratteri con le stesse caratteristiche, invece, necessita dai 17 agli 1,8 milioni di anni per poter essere correttamente identificata. Per quanto riguarda invece le domande di sicurezza, spesso e volentieri le informazioni sono già disponibili in Rete – nome della scuola superiore, del primo animale domestico e via dicendo – tra biografie e interviste. Di conseguenza, i malintenzionati non avrebbero fatto altro che procedere per tentativi, identificando correttamente nome utente, chiave d’accesso o reimpostando quest’ultima con le domande di ripristino. Ottenute tali informazioni, Apple – o qualsiasi altra società online – non può che considerare il login lecito, poiché i dati inseriti corrispondono a quelli conservati nei database dell’azienda.

Il dubbio che Apple non fosse direttamente collegata al furto, tuttavia, è sorto ben prima che l’azienda fornisse informazioni sulle proprie analisi. Molte delle immagini pubblicate – per la gran parte selfie allo specchio – sono state scattate con dispositivi Android e BlackBerry, due prodotti che non hanno ovvio accesso ai backup su iCloud. Backup sulla nuvola che, peraltro, sono del tutto facoltativi e a discrezione dell’utente. Il caso, almeno dal punto di vista tecnologico, è pertanto chiuso: Apple è assolta, così come probabilmente la gran parte di produttori di smartphone e cloud storage di terze parti. Rimangono però aperte sia le questioni legali, su cui le agenzie federali USA pare siano già al lavoro, che quelle morali sul voyeurismo morboso del Web.