Tras los eventos de ayer, Apple ha indicado a Re/code que está "investigando activamente" las noticias de la posible violación de diversas cuentas de iCloud que podría haber dado como resultado la publicación de cientos de fotografías personales de carácter íntimo pertenecientes a multitud de actrices de Hollywood, cantantes y modelos, entre otras personalidades.
"Nos tomamos la privacidad muy en serio y estamos investigado activamente este asunto"
Como ya os adelantamos en un primer momento, un fallo descubierto en el API de Buscar mi iPhone fue señalado como la posible vía de acceso, aunque informaciones más recientes parecen hacerlo altamente improbable. La vulnerabilidad fue difundida el pasado viernes 29 de agosto durante el Chaos Constructions 2014, momento en el que también se publicó en GitHub iBrute, el script de Python que permitía realizar un ataque de fuerza bruta al servicio para recuperar la contraseña de una cuenta.
Apple solucionó el fallo apenas 48 horas después, durante la madrugada del domingo al lunes de septiembre, todo un récord teniendo en cuenta los tiempos que maneja la compañía en sus momentos menos brillantes. El #Celebgate llevaba ya unas cuantas horas como trending topic así que podríamos pensar que esas 48 horas fueron todo lo que necesitaron los hackers para hacerse con las cuentas de Jennifer Lawrence y el resto de víctimas, salvo por...
iBrute utiliza un diccionario con las 500 contraseñas más comunes obtenidas a partir del célebre robo de 32 millones de cuentas que sufrió la compañía desarrolladora RockYou en 2009. Se supone que el diccionario ha sido filtrado eliminando todas las contraseñas que no cumplen con los requisitos de seguridad de Apple a la hora de elegir una, pero lo cierto es que precisamente uno de estos requisitos es que, y cito literalmente, "No puede ser una contraseña común".
Tras probar una decena de contraseñas de este diccionario, ninguna ha pasado el filtro del formulario de registro de Apple. ¿Puede funcionar alguna? Quizás. ¿Las víctimas usaban una de ellas? Todo es posible, pero seguiría habiendo un par de cabos sueltos: ¿Cómo han conseguido las direcciones de correo de las famosas? No es que sean precisamente de dominio público, y sin eso, no puedes realizar ningún ataque tan dirigido.
Y más importante aún, ¿ninguna de ellas sospechó de nada? Suponiendo que sí que tuviesen sus cuentas y contraseñas, el siguiente paso para conseguir las fotos y vídeos de una cuenta de iCloud es configurarla en otro equipo o dispositivo para poder sincronizarla. El problema es que incluso aunque no tengas activa la verificación de dos pasos (algo más que recomendable), sigues recibiendo una alerta en tus dispositivos actuales notificándote de que se acaba de añadir otro a tu cuenta.
Desconozco lo geeks que son o dejan de ser las famosas afectadas (aunque de JLaw me creo cualquier cosa, esta chica es genial) pero si por algo se caracterizan es por tener dinero suficiente como para poder contratar el AppleCare Protection Plan sin el más mínimo miramiento. "¿Hola? ¿Apple? Me ha salido esto en mi iPhone y no tengo ni idea de lo que es. ¿Podéis ayudarme?". Por supuesto, puede que todas ellas hayan pasado por alto el aviso, pero seguimos acumulando "puedes".
Dentro de la madriguera
Recordáis que el fallo de Buscar mi iPhone se publicó el viernes y todo el asunto del #Celebgate estalló el domingo a través de 4chan, ¿verdad? Pues no, el martes 26 ya había anónimos de AnonIB, un conocido foro de publicación de imágenes para adultos, hablando de las fotos de JLaw. Sí, cinco días antes.
Profundizando en el asunto la cosa se vuelve mucho más espeluznante que un simple fallo de iCloud, incluyendo un círculo clandestino de intercambio de fotografías de celebridades que lleva bastante tiempo oculto en la Deep Web, la Internet profunda formada por páginas no indexadas por los buscadores.
Tirando de este hilo algunas cosas cobran bastante sentido, incluyendo las declaraciones de Mary E. Winstead donde explica que hacía años que había borrado las fotografías junto a su marido ahora filtradas. Las imágenes no procederían de una única fuente, ni de un único hack, sino de un grupo que probablemente ha conseguido el material mediante muy diversos medios y lo ha ido intercambiando dentro de este reducido círculo a cambio de las fotografías y vídeos recuperados por el resto.
De confirmarse, la filtración de imágenes del #CelebGate se explicaría con un recién llegado al círculo que habría optado por romper el código del mismo y publicar el material que tenía junto al que había conseguido en sus primeros intercambios. En vista del revuelo, otros miembros del círculo habrían publicado más imágenes (previo pago de bitcoins) ante la oportunidad de hacer negocio, pero las fotografías y los vídeos más valiosos aún estarían en manos de la cúpula del grupo.
Como veis, la cosa da para escribir una novela de la que aún nos falta su capítulo final.
En Applesfera | Famosas desnudas y Apple en un mismo titular, el sueño de los medios #Celebgate
Ver 52 comentarios