Publicado na Slate.
Na esteira do roubo dos dados pessoais e fotos de dezenas de celebridades, há pelo menos um grande culpado. Não os supostos vazadores, embora, obviamente, eles tenham de ser responsabilizados, mas a empresa que tem exagerado o destaque dado à sua segurança em primeiro lugar: a Apple.
A Apple está atualmente se deleitando com o que as pessoas estão falando sobre como você não deve tirar fotos nus em primeiro lugar, mas não se engane: a Apple tem sido comprovadamente irresponsável com a segurança dos usuários. Não está claro como as fotos foram reunidas — muito provavelmente através de diferentes métodos e diferentes servidores ao longo de um período de meses ou mesmo anos.
O que está claro é que a Apple teve uma vulnerabilidade de segurança que já era conhecida em seu serviço iCloud há meses e foi negligente sobre a proteção de seus usuários. A Apple corrigiu essa vulnerabilidade logo após o vazamento e por isso não temos certeza de como exatamente as fotos foram hackeadas.
Aqui estão cinco razões pelas quais você não deve confiar na Apple para armazenar suas fotos nuas ou, na verdade, quaisquer de seus dados.
1. A vulnerabilidade da segurança
Até segunda-feira, a Apple tinha uma vulnerabilidade de “força bruta” significativa em seu serviço Find My iPhone, em que você digita seu ID da Apple e a senha no seu computador, a fim de localizar o seu iPhone em um mapa. A maioria dos serviços que usam senhas, do Facebook ao Google e aos bancos, irá bloquear a sua conta depois de um certo número de tentativas de acesso falharem.
A própria Apple vai fazer isso na maioria dos lugares, mas não por meio de seu serviço Find My iPhone, em que os hackers podem realizar tentativas ilimitadas para adivinhar senhas. Depois que a senha do ID da Apple é confirmada através Find My iPhone, um hacker, então, tem acesso à sua conta no iCloud. Mesmo uma senha decente, como “D0nM@tt1ngly!” ainda estaria vulnerável a esse tipo de ataque.
2. A vulnerabilidade era conhecida publicamente desde maio
Um grupo de segurança russo chamado HackApp lançou o iBrute, uma ferramenta para explorar essa vulnerabilidade em agosto. Mas não os culpo, porque a pirataria das celebridades provavelmente ocorreu muito tempo antes disso. O site The Register divulgou a falta de qualquer tipo de limite para tentativas de logon do iCloud em maio e a Apple não fez nada a respeito, dando aos hackers tempo de sobra para trabalhar. Mesmo depois do iBrute ser lançado publicamente, a Apple não corrigiu a vulnerabilidade e até primeiro de setembro não fez nada para proteger contas. Não consigo entender como a empresa deixou isso acontecer e suspeito que vai custar a alguém na Apple o seu trabalho.
3. A nuvem da Apple
As nuvens são ralas e efêmeras, o oposto de seguras, então por que você deseja armazenar qualquer coisa nelas? O armazenamento em nuvem tem sido forçado sobre os usuários, pois ele atende às empresas de tecnologia, não porque seja melhor para os consumidores. Mas a Apple faz com que seja muito difícil não armazenar fotos em sua nuvem, nus ou não.
O Camera Roll automaticamente faz o backup de fotos (todas as fotos) na nuvem por default e a Apple torna difícil para os usuários médios alterar o padrão. Tem funcionado.
E isso é muito ruim, porque o que você armazena na nuvem tem muito menos proteção legal e segurança do que o que está em seu próprio computador. Mesmo excluir fotos do seu telefone não as exclui da nuvem, como o especialista em segurança Nik Cubrilovic apontou no Twitter. Colocar na nuvem é como a verificação de bagagem em uma companhia aérea: as pessoas podem olhar seu material e até mesmo roubá-lo. E como as companhias aéreas, a responsabilidade da Apple é estritamente limitada pelo acordo extremamente generoso com a Apple que você assina quando compra qualquer um dos seus produtos.
4. A autenticação de dois fatores
A falsa sensação de segurança que a Apple cria, oferecendo a autenticação de dois fatores e depois não cumprindo com isso, é terrível.
Dois fatores de autenticação, em que é necessário a posse de um aparelho específico (como um iPhone) é necessária para fazer log in numa conta, é um dos elementos mais comuns da segurança problemática de senhas.
Google, Yahoo, Facebook, Twitter, e muitos outros serviços oferecem esses dois fatores, embora, raramente, por padrão.
Ainda assim, como o site Daily Dot escreve: “Por razões que desafiam toda a lógica, a Apple faz com que seja extremamente difícil permitir a verificação em duas etapas” (Em outras palavras, se você tivesse descoberto sobre a vulnerabilidade em 30 de agosto, não poderia ter-se protegido até 2 de setembro). A Apple mal divulga sua autenticação de dois fatores e não tem incentivado os usuários a adotá-la.
A Apple controla a experiência do usuário para seus produtos, e tem a responsabilidade de que o default seja razoavelmente seguro — o que atualmente não é.
5. A autenticação de dois fatores não teria funcionado de qualquer maneira
Mesmo se você fosse uma celebridade que tivesse permitido a autenticação de dois fatores, não teria ajudado nesse caso porque a Apple não aplica a autenticação de dois fatores para logons do iCloud mesmo se tivesse ligado essa opção, como foi relatado pelo site Ars Technica em maio de 2013.
A Apple usa principalmente os dois fatores para evitar compras ilegais com cartão de crédito, não para proteger a privacidade de seus dados. Embora provavelmente a brecha menos explorada (devido à dificuldade de utilização dos dois fatores pela Apple em primeiro lugar), esta é talvez a decisão mais irresponsável em matéria de segurança que a Apple fez.
Estes são todos problemas que a Apple conhecia há meses, senão anos, e não fez nada para contê-los. A autenticação de dois fatores da Apple ainda está fundamentalmente falha, por isso mesmo, hoje, a Apple ainda está deturpando a sensação de segurança que oferece para seus usuários.
Isso não significa desculpar quaisquer outros serviços que possam ter sido comprometidos e nem os próprios hackers.
Mas, se qualquer um desses problemas foi diretamente responsável pelo vazamento, os usuários da Apple, de Jennifer Lawrence aos executivos de empresas e até você, devem usar isso como uma lição para checar duas ou três vezes sua segurança. A Apple provavelmente vai sobreviver, apesar de tudo. iPhones são tão bonitos e bacanas.