Apple ha smentito ufficialmente l'ipotesi che sarebbe stata una falla in iCloud a rendere possibile il furto di fotografie private appartenenti a molte donne famose (e qualche uomo). Le immagini hanno cominciato a circolare il primo settembre, e poche ore dopo si è scoperto di un bug in "Trova il mio iPhone" che avrebbe potuto rendere possibile l'attacco.
"Dopo oltre 40 ore di indagini", si legge sulla nota pubblicata da Apple, "abbiamo scoperto che gli account di alcune celebrità sono stati compromessi con attacchi mirati su nome utente, password e domande di sicurezza - una pratica che è diventata fin troppo comune su Internet. Nessuno dei casi su cui abbiamo indagato è scaturito da una violazione nei sistemi di Apple, compresi iCloud e Trova il Mio iPhone".
Per evitare problemi simili, Apple suggerisce di abilitare l'autenticazione in due passaggi sul proprio account. Un consiglio al quale ci accodiamo, ricordando che è possibile farlo anche con gli account Google, Microsoft, Dropbox e altri. A tal proposito, è significativo il fatto che Apple ha deciso di non mettere su iCloud i dati della nuova funzione Healthkit, in arrivo con iOS8 (linee guida 27.3).
L'affermazione di Apple dovrebbe farci stare tutti più tranquilli, ma non è il caso di rilassarsi troppo. La falla in "Trova il mio iPhone" infatti è rimasta aperta per mesi (Apple l'ha chiusa due giorni fa, forse solo parzialmente). Potenzialmente qualcuno avrebbe potuto sfruttarla per compromettere centinaia di migliaia di account, per quanto ne sappiamo - senza necessariamente prendere di mira personaggi famosi o rendere pubbliche le informazioni rubate.
Questo caso ha poi portato sotto agli occhi del pubblico altri elementi che dovrebbero aiutarci a prendere sul serio la sicurezza dei nostri dispositivi. Per esempio, abbiamo scoperto che esiste un vero e proprio commercio di fotografie rubate: generalmente gli scambi e la compravendita avvengono senza che nessuno se ne accorga, ma è una cosa che va avanti da anni. In altre parole, questo tipo di azione non è l'eccezione, ma la routine; la novità sta nella portata dell'operazione e nel fatto che sia diventata pubblica.
Si è scoperto anche che questi paparazzi digitali sono dotati di strumenti piuttosto sofisticati. A quanto pare infatti è piuttosto diffuso Phone Password Breaker di Elcomsoft, un prodotto per professionisti e forze dell'ordine (Come estrarre i dati dai telefonini, scopriamo la Mobile Forensics). Ne circolano diverse versioni pirata che, scrive Andy Greenberg su Wired, "combinate con iBrute […] permette a chiunque di impersonare l'iPhone della vittima e scaricare un backup completo invece che i dati limitati accessibili tramite iCloud.com".
iBrute ora non dovrebbe funzionare più, come ha fatto sapere lo stesso autore dello strumento, ma potrebbe essere stato usato prima che Apple correggesse il bug. Forse, come afferma l'azienda, non è servito per rubare le foto di "the fappening", ma non per questo possiamo star certi che nessuno lo abbia usato in altri casi. Inoltre "può darsi che Apple definisca una breccia senza includere un attacco di brute force come iBrute", ipotizza il ricercatore Jonathan Zdziarski.
Anzi, Zdziarski ritiene che almeno le foto di Kate Upton facciano parte di un backup ripristinato - non è detto che sia stato questo il metodo. La vittima non è stata la famosa modella ma il suo fidanzato Justin Verlander - che probabilmente era il destinatario degli autoscatti erotici.
È difficile individuare i responsabili, determinare cosa è un crimine e garantirsi il massimo della sicurezza come utenti. Una cosa però si può affermare con certezza: è sbagliato dare la colpa alla vittima. Non si può chiudere la questione dicendo "dovevano pensarci prima", "avrebbe dovuto scegliersi una password migliore".
E ancora c'è chi ha commentato che "le cose private non si mettono sul cloud", o addirittura c'è chi ha detto "non dovevano nemmeno farsele certe fotografie" - che è un po' come dire alla vittima di un furto che "non dovevi nemmeno averle certe cose".
Tutte queste affermazioni sono ridicole. Ci sono degli errori palesi dal punto di vista della sicurezza IT, ma siamo nel 2014 e fidarsi di un provider cloud non può essere visto come una colpa. Jennifer Lawrence, Kate Upton e le altre sono vittime, e i colpevoli sono quelli che hanno rubato e diffuso le fotografie.
"Il fatto è", scrive la nostra collega Jill Scharr, "che il furto delle foto di nudo di queste notte è stato un furto. È stato l'equivalente digitale di un furto in banca con la sottrazione del denaro dai conti dei clienti. Solo perché la cassaforte non era solida quanto avrebbe dovuto essere, e anche solo perché le foto esistevano, non fa del furto un atto meno criminale o meno oltraggioso. Certo, si sarebbero potute prendere precauzioni migliori, ma "non avrebbe dovuto farsi certe foto" suona come l'anatema di un moralista da quattro soldi, non certo come un consiglio di sicurezza IT".