Furto hot su iCloud: rubati i backup completi

Il furto da iCloud delle immagini hot delle celebrity statunitensi – tra cui Jennifer Lawrence, Ariana Grande, Kate Upton, Rihanna e molte altre – diventa più preoccupante di quanto già non sia. Oltre alle immagini, infatti, sarebbero stati effettuati backup completi dei terminali delle vittime: messaggi, numeri di telefono, acquisti sugli store, carte di credito salvate e molto altro. E mentre Apple conferma come il furto non derivi da problemi di sicurezza dei propri servizi – i malintenzionati hanno scovato nomi utente e password delle showgirl perché poco elaborati – scatta il panico: nei prossimi mesi verranno pubblicate conversazioni private, così come la rubrica onnicomprensiva di tutti i contatti di Hollywood?

La conferma del furto dei backup completi arriva dalla versione statunitense di Wired, testata che ha chiesto l’aiuto a esperti forensi per analizzare i dati EXIF delle immagini hot di Kate Upton. A quanto pare, i malintenzionati avrebbero prima avuto l’accesso all’account con un sistema di “brute force” – dei software che generano password a ripetizione fino a scovare quella corretta – quindi avrebbero copiato i backup ospitati sulla nuvola. Il software, Elcomsoft Phone Password Breaker (EPPB), è normalmente utilizzato dalle autorità per analizzate gli smartphone e gli account di criminali e sospetti e, come facile capire, non è destinato alla distribuzione pubblica. Così spiega la testata:

«Se un hacker riesce a ottenere il nome utente e la password di un utente iCloud con iBrute, può connettersi all’account della vittima per rubarne le fotografie. Ma se i malintenzionati invece imitano il device della vittima con lo strumento di Elcomsoft, con questa applicazione desktop possono scaricare l’intero backup di iPad e iPhone in una singola cartella.»

Il software in questione, di origine russa e pensato unicamente per le forze dell’ordine, pare sia in vendita a un prezzo di circa 400 dollari, ma sarebbe disponibile su network privati di scambio di materiale illegale. È inoltre possibile che sia stato sufficiente il download del backup di una sola di queste celebrity, per poi accedere a quelle di tutti i suoi contatti: dalla rubrica o da iMessage sarà stato probabilmente facile risalire a ogni nome utente e, con poco sforzo, ipotizzarne le password. Come la stessa Apple – ormai palesemente estranea alla vicenda – ha ribadito, la quasi totalità degli attacchi è avvenuta per scarsa attenzione nella definizione di chiavi d’accesso e domande di sicurezza, informazioni facilmente scovabili online da biografie e interviste.

In un recente report del Daily Mail, infine, è emerso come uno dei cracker coinvolti abbia confermato la tecnica utilizzata – quindi le password troppo facili – per un attacco durato oltre 7 mesi. In definitiva, le foto di nudo sono solamente la punta dell’iceberg di un’enorme montagna di dati che potrebbe essere resa pubblica da un momento all’altro. E, nonostante le indagini dell’FBI siano già in corso, i colpevoli non sembrano essere particolarmente preoccupati nel continuare a interagire su piattaforme di sharing e social network.