Culpar o iCloud pelo vazamento das fotos de celebridades é um erro duplo
No último domingo, fotos íntimas de celebridades vazaram em redes sociais e sites “especializados”. Entre as vítimas estavam Kate Upton, Jennifer Lawrence, Kirsten Dunst e outros famosos — o número deles pode chegar a cem.
A repercussão tem sido grande porque, ora, são celebridades nuas. Na mesma velocidade com que as fotos se espalharam, empresas supostamente envolvidas com a obtenção das imagens e usadas posteriormente para a disseminação delas começaram a agir a fim de minimizar os estragos. Twitter e imgur estão banindo usuários que compartilham as fotos e o Google tem limpado sistematicamente os resultados da busca para omiti-las.
Ainda não se sabe o que foi usado como vetor para o ataque, muito menos qual ou se alguma falha foi explorada. Na imprensa, porém, não demorou muito para que uma suposição se alastrasse: a culpa do iCloud.
Não é uma suposição vazia. Pela mecânica do serviço, que vem habilitado em todo iPhone e faz backup das fotos na nuvem automaticamente, muitas vezes sem o conhecimento do próprio usuário, além do padrão “celebridades com iPhone”, o básico para suportá-la está presente.
O sistema de recuperação de contas da Apple não é um exemplo de segurança, como nos mostrou a célebre história do hacking de Mat Honan há dois anos. Desde então pouco foi feito para mudar isso e o que parecia a melhor defesa contra ataques do gênero, a verificação em duas etapas, não abrange backups do iCloud (boo!).
Para piorar, um script chamado iBrute, desenvolvido pela HackApp, foi divulgado três dias antes dos primeiros vazamentos, confirmado pelo Vinícius K-Max e corrigido horas depois do estouro do escândalo. O script se aproveitava de uma API do Find My Phone que não bloqueava tentativas sucessivas de login no iCloud, deixando a brecha para o que se chama ataque por força bruta: um método de tentativa e erro de acertar a senha.
Foi isso, então? Calma. A janela entre a divulgação da ferramenta e o vazamento das imagens foi curta, cerca de 36 horas, e tendo em vista a abrangência do ataque especialistas descartam a sua aplicação, ao menos no todo, nesse caso. Existe também a suspeita de que as fotos já estariam rolando em locais menos convidativos da Internet uma semana antes de chegaram ao grande público. A própria HackApp não acredita que haja relação entre as duas coisas:
I have to repeat once again THERE IS NO any evidences, that #ibrute was involved in this incident. If you have any, I look forward
— RATty Hack (@rattyhack) September 1, 2014
Porém não descarta, e nem entra no mérito da exploração da falha por outras ferramentas.
De qualquer modo, cabe a crítica ao modo de funcionamento do iCloud e a pressão para que ele seja melhorado é válida, mas não a atribuição da culpa sem uma prova. É um erro tirar conclusões do nada, e outro erro, maior até, focar a cobertura do caso na ferramenta em vez do crime ou dos personagens. Um erro duplo.
A Apple diz não ter localizado falhas em seus sistemas. Natural. Com a proximidade do novo iPhone e a expectativa de receber dos usuários dados extremamente sensíveis como meios de pagamento e histórico médico, a última coisa que a empresa quer neste momento é ser relacionada a uma falha extensiva de segurança. E não só por isso: entre outras coisas, ela se posiciona como a antítese do Google, uma alternativa que respeita e luta pela privacidade do usuário em vez de lucrar com a falta dela.
Apesar do interesse evidente em manter sua imagem de segura inabalada, ainda me parece precipitado atribuir a culpa à Apple/ao iCloud sem uma prova concreta. Existem indícios tanto contra quando a favor dessa hipótese e enquanto eles são debatidos à exaustão, a raiz do problema acaba sendo deixada de lado. Qual? Não, a pergunta é Quem?: o cara que vazou esse material. O iCloud ou qualquer outra falha pode ter facilitado, mas o culpado, o único e verdadeiramente culpado é quem hackeia e vaza conteúdo. Às vezes parece que justamente o mais importante é jogado para escanteio.
As implicações também são dignas de nota. Por serem celebridades afetadas, a repercussão foi enorme e as medidas de contingência, à altura. Só que isso pode acontecer com pessoas não famosas também. Com uma mulher “comum” que tem sua intimidade vazada pelo ex-namorado, a repercussão é menor, sim, mas a condescendência também, tudo é mais difícil e os danos psicológicos tendem a serem mais destrutivos.
Quem acha que essa situação está distante de meros mortais, restrita a quem aparece na TV ou no cinema, deve rever esse conceito. A alta profusão de pornografia amadora e não consentida via WhatsApp e em grupos que se organizam no subterrâneo da Internet é maior do que se imagina.
Nik Cubrilovic (via John Gruber), após gastar algumas horas tentando entender o submundo dos vazamentos da intimidade, concluiu:
Depois que essa história explodiu, passei algum tempo imerso na maluca e obsessiva subcultura das fotos de celebridades nuas e revenge porn tentando entender o que e como eles estavam fazendo e o que poderíamos aprender disso:
1. O que vemos em público com esses incidentes de hacking parece apenas arranhar a superfície. Existem comunidades inteiras e redes de compartilhamento onde dados roubados permanecem privados e raramente são compartilhados em público. As redes são quebradas horizontalmente com pessoas específicas assumindo determinados papéis, vagamente organizadas ao longo de um vasto número de sites (tanto na Internet comum quanto na deep web) com a maior parte da sua comunicação se dando privativamente (e-mail, bate-papo).
Nesse aspecto o comunicado da Apple se mostra um pouco irresponsável ao dizer que foram “ataques bem direcionados a nomes de usuários, senhas e perguntas de segurança, uma prática que tem se tornado bastante comum na Internet.” A mensagem cria a ilusão de que, se não for alguém famoso, não é preciso se preocupar com isso. O relato de Cubrilovic e as citações de Sam Biddle no Valleywag mostram o contrário, que pessoas comuns costumam ser, sim, alvos de gente mal intencionada. Além disso, o final da sentença também revela certa impotência, como se esse problema fosse uma coisa natural, que não tem como resolver, ces’t la vie. Não é.
Foto do topo: Mingle MediaTV/Flickr.
Guedin, da uma corrigida, vazaram as fotos da Kate Upton e não Kate Hudson.
Tá na hora de uma investigação maciça em hackers, anônimos e por aí vai. Tou quase ao ponto de aceitar o fato que está na hora de acabar com a privacidade (como diz um texto sobre um ativista anti-privacidade).
Coloca o link desse texto do
ativista sobre anti-privacidade… Pode ser interessante. Acho complexo e por
que não utópico, combater a exposição maluca que estamos submetidos com a
tecnologia atual. Teríamos o estado, a polícia, uma secretária qualquer de segurança
virtual, olhando, diariamente, a ação de cada individuo? Por fim, não seria tal
preceito, a do anti-privacidade, mais um prato cheio para os hackers burlarem e
claro, gozarem com suas conquistas, pois, imagino que seja exatamente isso o
prazer do trabalho deles. A reflexão é profunda e isso é o mais clichê de se
dizer, mas, enquanto isso continuamos a vida com os celulares cheios de imagens
indecentes de pessoas famosas e não famosas, seja qual for a malefício ou
benefício individual ou coletivo disto. PS.: em tempos de perca de privacidade,
essa ultima afirmação são constatações de celulares alheios, o meu não tem nada
disso…
Primeiro de tudo e mais importante. Obrigado por brindar o post com essa maravilhosa J-Law em uma foto (licita) em um belo vestido (este, quase ilícito – um vestido destruidor de lares eu diria) Essa menina merece a boa fama que tem. Além de ser gente como a gente. (só um pouco mais rica e bem mais bonita)
ötimo post…. fica uma cacofonia irritante de culpas e causas na mídia.
Mas o episódio cabe reflexão Uma delas é sobre o comunicado da Apple. É irresponsável ao dizer o direcionamento? Não acho… porque OK, qualquer um pode ser alvo (concordo com vc). Mas quando se é uma mega celebridade como as citadas, o alvo é muito maior. E lembrando do episódio do Twitter do Luciano Huck, infelizmente não duvido que a senha de algumas dessas celebridades seja o aniversário, 123 alguma coisa e por aí vai.
Sobre a privacidade: Não existe sistema 100% seguro. É complicado dizer, mas… se você quer 100% privacidade, converse com o Stallmann e vá viver em uma caverna. Fora isso, não tire fotos do genero com dispositivos. Se tirar, o risco é SEMPRE grande da coisa vazar. É chato, ruim… mas é nossa realidade atual.
Exatamente, pelo simples fato de ter uma senha ali é pra evitar que alguém mexa em suas coisas e não por ser “bonito”. Acho que a melhor alternativa pra essas pessoas são tirar fotos somente com o dispositivo offline e armazenar em HD criptografado.
(Não, a culpa não foi dela, mas o mundo não é o ideal e se houver brechas ou senhas fracas, arquivos vão continuar vazando). O melhor método é a prevenção.
Na primeira revisão do texto eu tinha escrito “não existe sistema 100% seguro” :-)
O problema com o comunicado da Apple é que colocando o fator “celebridade” entre as causas do vazamento, a mensagem que ele passa é que esse é parte do preço da fama. E não é. Existem inúmeros casos de pessoas comuns que foram vítimas do mesmíssimo crime.
E outra: as próprias empresas estimulam os usuários a confiarem nesses serviços. O mínimo que elas podem dar em contrapartida é se excederem na manutenção dos dados, coisa que nem sempre acontece — coincidentemente (ou não), o iCloud é um grande exemplo desse descaso. A Apple faz pouco caso, tira o dela da reta, mas falhas básicas de procedimentos e medidas úteis que não são tomadas ficam para escanteio. Se eu não tiver a confiança em hospedar meus arquivos na nuvem, boa parte do apelo se perde.
Concordo que com boas práticas e procedimentos o sistema ficará mais seguro. Evitar ataque de força bruta ou obrigar uma verificação de dois passos é um bom caminho (se as pessoas entenderem). E claro que a Apple vai tentar minimizar, como toda empresa com milhões de budget em RP faz. Mas não li pelo lado do “preço da fama” e sim, que a fama contribuiu porque se você é uma pessoa famosa e colocou a data do seu aniversário como senha ou uma dica de senha completamente pesquisavel na Web fica bem dificil manter dados seguros.
não estou do lado da Apple, mas pelo meu dia a dia, entendo bem como é negociar segurança da informação com pessoas não habituadas a elas. Veja a lista das senhas mais comuns. Senhas em Post-it’s. Confirmações sem ler a mensagem. É um cenário triste. E um fato: praticidade e segurança não andam juntas.
O problema está na relação entre pessoas e tecnologia. Pessoas que tem capacidade de discernir quando estão sendo lesadas em situações comuns da vida e do dia a dia, mas que a tecnologia causa um efeito paralisante no bom senso delas.
Concordo que os grandes culpados são aqueles que aplicaram o golpe e invadiram as contas.
Mas acho sim que a Apple tem sua parcela de culpa, havia uma brecha (admitida indiretamente pela Apple e constatada por quem executou o tal do iBrute) e ela foi corrigida após o caos se instaurar.
Quanto ao EXIF, eu tenho fotos com EXIF de iPhone no meu Android, então isso não ajuda muito.
Chuto que houve engenharia social também, sempre tem.
O timing não poderia ter sido pior para a Apple, mas acredito que como sempre eles se sairão bem. Pelo comunicado oficial nenhum serviço foi comprometido internamente. Nada que uma n-step authentication espalhada por todos os serviços não resolva.
Algumas podem ter vindo do iCloud, mas analisando os dados EXIF já identificaram fotos de antes do iPhone, fotos de Android e por aí vai, então é “só” um vazamento massivo de fotos que provavelmente já circulavam nos submundos, não uma coisa específica dessa (possível) falha da Apple.
Recomentando:
Falando sério, acho que anda rolando muita especulação por aí acerca da falha do iCloud, mas ninguém apresentou provas concretas que a culpa é do serviço. Mais uma vez, a Apple vem sendo punida e meio que perseguida, justamente por aqueles que gostam de satirizar a empresa. Lembrando que essa aura de “Apple deusa suprema infalível” é criado pelos fãs babacas e não uma imagem que a própria empresa vende.
O pior é que muitos sites que deveriam ajudar a informar estão jogando mais combustível na fogueira, vide a folha nesta notícia: http://f5.folha.uol.com.br/cel… . Lembrando que deveriam citar os perigos da “nuvem” e não do iCloud em si.
Enfim, concordo com o Ghedin quando ele afirma que a culpa é do hacker e não do usuário (se é do serviço, há que se apurar ainda).
Poxa, meu comentário anterior sumiu… :<
Parecem que marcaram como spam.
Sumiu não, caiu na moderação. Vou liberá-lo lá.
Muita polêmica, muita confusão, não vou tirar nude mais não~~
______________________________
Falando sério, acho que anda rolando muita especulação por aí acerca da falha do iCloud, mas ninguém apresentou provas concretas que a culpa é do serviço. Mais uma vez, a Apple vem sendo punida e meio que perseguida, justamente por aqueles que gostam de satirizar a empresa. Lembrando que essa aura de “Apple deusa suprema infalível” é criado pelos fãs babacas e não uma imagem que a própria empresa vende.
O pior é que muitos sites que deveriam ajudar a informar estão jogando mais combustível na fogueira, vide a folha nesta notícia: http://f5.folha.uol.com.br/celebridades/2014/09/1509957-filme-com-cameron-diaz-mostra-os-perigos-do-icloud.shtml . Lembrando que deveriam citar os perigos da “nuvem” e não do iCloud em si.
Enfim, concordo com o Ghedin quando ele afirma que a culpa é do hacker e não do usuário (se é do serviço, há que se apurar ainda).