Categorias

Falha no iCloud pode ser responsável por vazamento de fotos nuas de celebridades

Centenas de fotos nuas, semi-nuas e reveladoras de celebridades foram divulgadas na noite desse último domingo. A atriz de Jogos Vorazes, Jennifer Lawrence, Kirsten Dunst, e a cantora Ariana Grande, estavam entre as famosas que supostamente aparecem nas fotos, que foram postadas no infame fórum online 4chan.

O usuário anônimo do 4chan disse que elas foram retiradas de contas do iCloud das celebridades. O serviço é projetado para permitir que usuários de iPhone, iPad e Mac sincronizem imagens, configurações, informações de calendário e outros dados entre dispositivos, mas ele tem sido criticado por ser pouco confiável e confuso.

Segundo o site The Next Web, um script Python surgiu no Github que parece ter permitido usuários mal-intencionados a fazer busca exaustiva da senha de uma conta de destino no iCloud, graças a uma vulnerabilidade no serviço Find My iPhone. Ataques de busca exaustiva, ou força bruta, são quando um usuário mal-intencionado usa um script para repetidamente tentar senhas em um site para descobrir a usada pelo usuário.

Jennifer Lawrence poses at the 85th Academy Awards nominees luncheon in Beverly Hills

A vulnerabilidade supostamente descoberta no serviço Find My iPhone parece ter permitido aos atacantes usar esse método para adivinhar senhas repetidamente, sem qualquer tipo de bloqueio ou alerta para o alvo. Uma vez que a senha tenha sido descoberta, o hacker pode então usá-la para acessar outras funções do iCloud livremente.

Quando o The Next Web testou a ferramenta, suas contas acabaram sendo bloqueadas após cinco tentativas, o que significa que o script Python certamente tenta atacar o serviço, mas a Apple parece ter corrigido a falha.

Não está claro quanto tempo esta falha estava no serviço, entretanto ainda não há nenhuma evidência concreta de que essas imagens realmente vazaram via iCloud ou se foram obtidas através desse hack.

Até o momento, a Apple disse que “recusa-se a comentar” sobre qualquer falha de segurança no iCloud.