O vazamento de conteúdos íntimos não é novidade na internet. Logo, o episódio do último fim de semana poderia passar como mais um caso entre tantos, se não fosse por um importante detalhe: de acordo com o autor das fotos expostas, o episódio aconteceu por uma suposta falha no iCloud, sistema de armazenamento em nuvem da Apple.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
Um usuário do site de compartilhamento anônimo 4Chan diz ter descoberto a brecha e, a partir dela, acessou contas de quase cem celebridades – entre elas as atrizes Jennifer Lawrence, Kate Perry, Cara Delevingne, entre outras. Apesar de alguns dos conteúdos terem sua autenticidade questionada pelas equipes de comunicação das vítimas, a assessoria de imprensa de Jennifer Lawrence já confirmou a veracidade das imagens e afirmou que irá contribuir para as investigações.
De acordo com blogs de tecnologia, um trecho do código com o xploit foi divulgado em alguns fóruns, como o github, supostamente usado no incidente. Seria um brute force via HTTP basic, em uma API usada pelo iCloud. Aparentemente, a função comprometida está ligada ao recurso Find My iPhone, localizador do aparelho em caso de furtos ou extravios.
A suposta vulnerabilidade começa a acender o alerta para milhões de usuários de iPhone e iPad – muitos deles corporativos. Seja com a tendência de traga seu próprio dispositivo (BYOD) ou até mesmo com aparelhos cedidos pela companhia, não é incomum profissionais usarem o recurso da câmera ou de notas para armazenar informações corporativas sensíveis. Em alguns casos, dependendo da configuração dos aparelhos, é feito backup automático do conteúdo na nuvem. Sem mencionar o recurso de backup de email, contatos, e outros.
Até a manhã desta segunda-feira (1º/9), a Apple não havia divulgado nenhum comunicado e, procurada pela equipe do IT Forum 365, não respondeu à solicitação para comentar o caso. Contudo, nesta segunda-feira (1º) a empresa teria corrigido uma falha no Find My iPhone, aumentando as suspeitas. De acordo com o pesquisador de segurança Alexey Troshichev, foi possível combinar a falha com uma série de senhas e ter acesso às contas.
Aparentemente, a brecha foi revelada na Conferência Def Con na Rússia, no último dia 30 de agosto — o que leva a crer que as fotos vazadas foram coletadas ao longo de anos, e não apenas em um dia.
Alguns especialistas de segurança ainda questionam que a falha poderia ter sido de outro serviço em nuvem, o Dropbox. Essa informação também não foi confirmada.
Crime
No Brasil, um caso semelhante de invasão de conteúdos eletrônicos culminou na lei 12.737/2012, sancionada em dezembro de 2012 pela presidente Dilma e responsável por alterar o código penal a fim de incluir a tipificação específica de crimes eletrônicos. A lei foi conhecida como “Lei Carolina Dieckmann”, em relação à atriz envolvida no episódio.
À época, a Polícia Civil do Rio de Janeiro localizou quatro suspeitos de terem cometido o crime, na faixa dos 20 anos e um menor. A invasão aconteceu por meio de um software mal intencionado enviado via email.