Falha da Apple e descuido de famosas explicam vazamento

Senhas fáceis e smartphones desprotegidos são duas imprudências que podem ter facilitado a ação dos crackers

Por Renata Honorato e Cláudia Tozetto
1 set 2014, 18h45

A atriz Jennifer Lawrence é uma das vítimas do ataque cracker que vazou fotos íntimas de celebridades (Jason Merritt/ Getty Images/VEJA/VEJA)

O vazamento de fotos de celebridades nuas ou seminuas nos fóruns on-line 4chan e Reddit, entre outros, foi uma ação de um grupo de crackers. Especialistas acreditam que os criminosos tiveram acesso às imagens privadas a partir da descoberta da senha de e-mail das artistas por meio de duas artimanhas: de phishing (mensagem falsa que engana usuários para roubar seus dados pessoais) ou por uma falha no aplicativo Find My iPhone, que daria acesso ao iCloud, sistema de computação em nuvem onde são armazenadas fotos, contatos e músicas dos consumidores Apple.

Fabio Assolini, pesquisador da fabricante de antivírus Kaspersky, aponta para uma vulnerabilidade no Find My iPhone, que permite que sejam feitas várias requisições de login no serviço de nuvem da Apple sem que haja qualquer bloqueio ou confirmação. “Eles tentam fazer login na conta utilizando todas as palavras existentes no dicionário até conseguir acesso”, explica Assolini. A Apple segue estudando o caso, mas o bug já foi resolvido.

Continua após a publicidade

Segundo as investigações preliminares, nem todas as imagens foram registradas a partir de um dispositivo Apple. Isso significa que outras maneiras de roubar uma senha e acessar serviços em nuvem podem ter sido utilizadas pelos criminosos. Celebridades costumam frequentar ambientes como aeroportos e restaurantes, em que muitas redes de conexão sem fio (Wi-Fi) são abertas. Crackers podem ter coletado informações pessoais a partir dessas redes, embora Assolini reconheça se tratar de uma possibilidade remota, tendo em vista o grande número de vítimas – dezenas de atrizes e cantoras.

Para Leonardo Bonomi, diretor de serviços e suporte da Trend Micro, os e-mails das celebridades podem ter sido hackeados, uma vez que a maioria das pessoas tende a usar senhas muito fáceis em seus serviços on-line. “Os usuários não devem usar senhas fracas, como a data do aniversário. Esses acessos devem ter caracteres especiais, como @ ou %, e letras maiúsculas e minúsculas”, diz o especialista da Trend Micro.

Outra hipótese é o uso de práticas de phishing, uma mensagem falsa que imita um e-mail da Apple ou Google, por exemplo. Essas farsas solicitam o preenchimento de dados de acesso em um site ou formulário falso. É por meio desse golpe que muitos crackers (termo usado para designar especialistas em tecnologia que usam seus conhecimentos para quebrar a lei) têm acesso às credenciais dos usuários. “No ano passado, registramos um aumento considerável de ataques de phishing contra donos de iPhone. O objetivo era sempre obter o acesso ao iCloud”, afirma Assolini, da Kaspersky.

Continua após a publicidade

Segurança – Segundo Bonomi, os serviços de nuvem disponíveis no mercado (iCloud, Google Drive, OneDrive) são seguros e, na maioria dos casos de vazamento de informações, a falha ocorreu no dispositivo que dá acesso ao sistema de armazenamento. “Quando um smartphone é roubado, por exemplo, normalmente ele está conectado aos serviços de nuvem e não possui uma senha de acesso ao aparelho”, diz o especialista. “Qualquer um que pegar o smartphone também terá acesso a todo o backup on-line do usuário”, explica. Outra medida importante é usar um sistema de segurança capaz de apagar de forma remota todos os dados do telefone em caso de roubo ou perda.

Assolini lembra ainda que os serviços de armazenamento em nuvem oferecem um recurso de dupla autenticação, que reforça a segurança. Quando ativado, a pessoa deve usar, além de nome de usuário e senha, um código de seis dígitos enviado por SMS. Vários serviços, como Facebook, Gmail, Twitter, iCloud, entre outros, já oferecem esse recurso gratuitamente no Brasil.