La più esplicita, e non mediata, reazione è senza dubbio quella di Kirsten Dunst: l’attrice ha utilizzato il proprio account Twitter per dire chiaramente cosa pensa di quanto accaduto ieri , con le sue foto intime che hanno fatto il giro del mondo. Ma se la diva se la prende con iCloud, Apple ha negato che l’anello debole della catena sia stato il suo cloud storage . E l’FBI non esclude alcuna pista , alla ricerca dei responsabili di quello che è, a tutti gli effetti, un reato e una grave violazione della privacy altrui. Ci sarebbero poi altre foto e altri video in circolazione, anche se non tutti sono stati ancora postati sulle bacheche più frequentate e continuano a essere scambiati e venduti in forum riservati agli “appassionati” del genere.
Thank you iCloud🍕💩
– Kirsten Dunst (@kirstendunst) September 1, 2014
In una mossa inusuale, per Cupertino almeno, Apple è intervenuta ufficialmente sulla questione dei selfie rubati e ha dichiarato tramite un portavoce che “Prendiamo la privacy degli utenti molto sul serio e stiamo solertemente investigando su quanto accaduto”. Inoltre, in un comunicato stampa ha smentito qualsiasi falla generale di iCloud, rimandando invece a un più probabile attacco mirato tramite consolidate strategie di ingegneria sociale : “Dopo oltre 40 ore di indagini, abbiamo scoperto che alcuni account di celebrità erano stati compromessi da un attacco mirato su user name, password e domande di sicurezza (…) In nessun caso su cui abbiamo indagato si è verificata una breccia in alcun servizio Apple, inclusi iCloud e Trova il mio iPhone”.
Non c’è alcuna ammissione di responsabilità , e d’altronde sarebbe suonato strano il contrario, ma vista anche l’ imminenza di un keynote in cui saranno annunciati nuovi prodotti su cui la Mela conta molto (iPhone su tutti, e un sistema di pagamento di cui si vocifera che imporrebbe stringenti misure di sicurezza e massima fiducia riposta nel device) l’azienda ha tutto l’interesse a risolvere la faccenda in fretta e magari anche scagionare iCloud . In uno dei primi leak, uno dei presunti cracker in possesso delle immagini ha effettivamente citato il servizio Apple, anche se in seguito ha ammesso di aver solo ottenuto il materiale da un’altra fonte e di aver provato a monetizzare pur non essendo l’autore del furto.
Per venire a capo della questione, probabilmente prima di “chi” occorre capire “come”, e poi seguire le tracce fino ai colpevoli se possibile. Anche l’FBI è della partita , e di sicuro i federali vorranno capire cos’è successo: l’ipotesi iCloud resta in piedi, anche se per essere efficace sarebbe stato necessario che gli attaccanti conoscessero in anticipo l’indirizzo delle vittime associato all’account sui servizi Apple. Non è impossibile, ma c’è un’altra questione da valutare. Lo script incriminato, quello di cui si discuteva già lunedì e conosciuto ormai come “iBrute” , testava un vocabolario di password di appena 500 parole e altrettante email potenziali, scelte tra le più comuni (da “password” a “12345”, e così via): non è impossibile che sia stato modificato per utilizzare un database su cui lavorare più ampio, ma in quel caso, se c’è qualcuno in Apple che si occupa di sicurezza e monitora i server iCloud, la faccenda avrebbe rischiato di dare troppo nell’occhio.
Un’ipotesi da non scartare a priori sarebbe un attacco diretto alle vittime (ed è l’ipotesi di Apple ), o ai loro collaboratori: un’email confezionata per trarre in inganno in pieno stile phishing , una vulnerabilità in un server di un’agenzia o un’azienda che collabora con lo staff dei VIP, una manovra di ingegneria sociale per carpire informazioni riservate (magari legate alle domande di sicurezza impostate per il reset della password), così come l’appropriazione di device appartenuti alle star in modo legale o illegale con all’interno materiale compromettente. L’ingegneria sociale in particolare, ovvero i metodi “tradizionali” per farsi strada nelle vite altrui, potrebbe aver costituito un vettore d’attacco efficace per infiltrarsi non in uno soltanto ma in più servizi cloud , dai quali sottrarre foto e video: era già successo al giornalista Mat Honan , potrebbe essere successo di nuovo. Ci sono strumenti tecnici che sono in grado di sostituirsi ad un iPhone e scaricare l’intero contenuto del backup (se archiviato su iCloud), ma in questo caso non si può parlare strettamente di vulnerabilità dei servizi, quanto più correttamente di una scadente politica di implementazione con poca attenzione per la creazione di policy di sicurezza adeguate . Una password debole, e delle domande di sicurezza prevedibili possono aver fatto il resto. Come in altri casi, inoltre, scovata una password e una username, i cracker avranno probabilmente tentato di farsi strada anche in altri servizi: OneDrive, Dropbox, Box, Facebook, Instagram, tutti i possibili cloud storage e repository in cui altro materiale poteva essere disponibile per essere sottratto.
Trarre la morale da questa storia potrebbe essere prematuro, anche se appare molto simile ad altre storie già raccontate . In molti casi, se non in tutti, una verifica in due passaggi ( two-step verification ) per accedere ai servizi cloud avrebbe potuto impedire quanto avvenuto. Nell’immediato, la scelta più saggia per tutti sarebbe attivare la doppia password (password+token) sui propri account e valutare al meglio quali servizi effettuino il backup di cosa in automatico : se si scattano foto che si preferirebbe non vedere prima o poi in circolazione, infine, magari potrebbe essere anche una buona idea non farlo con uno smartphone.
Luca Annunziata