Le foto di Jennifer Lawrence e dei VIP rubate su iCloud. Minaccia per la privacy

La notizia sta facendo letteralmente il giro del web. Nella giornata di ieri sono state diffuse centinaia di foto che ritraevano VIP come Jennifer Lawrence, Kate Upton, Avril Lavigne, Rhianna, Kirsten Dunst e tante altre star, completamente nude.

Le foto sono state pubblicate sul social network 4chan.org che permette di postare in modo anonimo qualsiasi contenuto. Successivamente sono state diffuse a macchia d’olio su siti di hosting di immagini e torrent.

Stando alle poche informazioni che si hanno al momento, il materiale fotografico è stato trafugato da un hacker che ha sfruttato una falla del servizio iCloud di Apple.

Diverse le reazioni delle star, alcune hanno confermato l’ufficialità delle foto, altre hanno smentito. Jennifer Lawrence e Kate Upton hanno promesso una dura battaglia legale nei confronti del responsabile di questo spiacevole evento.

Ma cosa c’è alla base di questa clamorosa violazione della privacy? La colpa potrebbe essere la funzione “Trova il mio iPhone” integrata su iCloud.

A quanto pare non è stato implementata una difesa contro gli attacchi di tipo brute-force in questa sezione di iCloud. Quindi l’hacker ha creato uno script che effettua centinaia di tentativi per scoprire la password dell’account. In qualsiasi altra sezione di iCloud, un attacco di questo tipo sarebbe stato fermato dopo pochi tentativi con blocco dell’account, ma non in “Trova il mio iPhone”. Una volta scoperto l’indirizzo e-mail associato all’account bastava eseguire questo script e avere un pò di fortuna.

Apple ha già corretto la vulnerabilità e ha dichiarato che sta indagando in modo approfondito per appurare eventuali responsabilità. 

Per quanto riguarda l’hacker che ha compiuto il gesto, ha dichiarato su 4chan, (con tanto di screenshot) di possedere molto altro materiale compresi video compromettenti. Questo fa pensare che stesse tenendo sotto controllo queste celebrità da diverso tempo. Sembra ci sia stato anche scambio di denaro bitcoin tra gli utenti di 4chan e lo stesso hacker.

Vorrei fare una riflessione finale su questa vicenda. Una riflessione sulla sicurezza. È giusto fare affidamento ad un server posto in chissà quale Paese del mondo per i nostri dati? Personalmente, ritengo che lo sia ma solo in parte.

Secondo me ogni utente dovrebbe fare una distinzione tra ciò che è importante e non, e valutare molto bene prima di affidare i propri dati ad un estraneo. Chi mi può assicurare l’assoluta protezione di sistemi cloud come Google Drive, DropBox, MEGA, iCloud, OneDrive? Oggi è stato colpito quello di Apple. Domani la falla potrebbe essere all’interno di DropBox o GDrive.

Ci sono cose che non dovrebbero stare sulla nuvola, che siano foto compromettenti o documenti personali come carte d’identità.