A polêmica continua: verificação em duas etapas não protege totalmente usuários do iCloud

Segurança na nuvem

Pelo visto, o assunto que dominou a internet no início desta semana ainda está longe de terminar. Recapitulando a história: de domingo (31/8) para segunda-feira (1/9), centenas de fotos de celebridades nuas (incluindo Jennifer Lawrence, Mary Elizabeth Winstead, Kate Upton, Kirsten Dunst, Kaley Cuoco, Victoria Justice, Teresa Palmer e outras) caíram na rede.

Depois de alguns poucos minutos, o nome da Apple entrou na história. Isso porque grande parte dessas fotos estava armazenada em contas do iCloud dessas celebridades. Assim, logo surgiu a notícia de que o serviço na nuvem da Maçã teria sido invadido devido a falhas de segurança. A Apple rapidamente entrou na história afirmando que seu serviço está seguro e que o roubo das fotos de celebridades foi um “ataque direcionado”.

Segurança na nuvem

Segurança na nuvem, via Shutterstock.

O que aconteceu, então? Através de “técnicas comuns” (como phishing, engenharia social e outras), mal-intencionados conseguiram invadir essas contas e ter acesso a todos os conteúdos armazenados nelas, incluindo as tais fotos/vídeos.

Usando essas técnicas, não importa muito se você tem uma senha simples/insegura ou uma decente, afinal, o próprio usuário ajuda a pessoa mal-intencionada a conseguir descobri-la — é claro que senhas como 12345 ou password não ajudam em absolutamente nada, já que não é preciso nem mesmo usar técnicas mais elaboradas para invadir contas assim. A única proteção real que pode ajudar nessa hora é a verificação em duas etapas.

Mas existe um grande problema nessa história. Veja este artigo de suporte da Apple:

O que é a verificação de duas etapas do ID Apple?

A verificação de duas etapas é um recurso de segurança adicional para seu ID Apple que serve para evitar que alguém acesse ou use sua conta, mesmo que saiba sua senha.

Ela requer que você verifique sua identidade usando um de seus dispositivos para que possa realizar qualquer uma destas ações:

  • Iniciar a sessão em Meu ID Apple para gerenciar sua conta;
  • Fazer uma compra pelo iTunes, App Store ou iBooks Store a partir de um novo dispositivo;
  • Obter suporte da Apple relacionado ao ID Apple.

Muitos outros recursos importantes, como a restauração de um novo dispositivo através do backup do iCloud, por exemplo, não são protegidos pela verificação em duas etapas. Ou seja, se um cracker conseguir ter acesso ao ID Apple e à senha de um determinado usuário através das técnicas descritas acima, pode “facilmente” restaurar um iPhone e ter acesso a todas as informações e conteúdos desse usuário.

Segundo o TechCrunch, foi exatamente isso o que aconteceu. Depois de conseguir o acesso a IDs Apple e restaurar os backups do iCloud, crackers usaram um aplicativo chamado Elcomsoft Phone Password Breaker para exportar os dados dessas contas (incluindo as fotos/vídeos) para uma pasta específica. Apesar de este ser um software criado para agências governamentais e de segurança, qualquer um pode ter acesso a ele — basta desembolsar minimamente US$80.

Ainda que o usuário não tenha backup do aparelho no iCloud, esses mal-intencionados conseguem ter acesso ao Compartilhamento de Fotos do iCloud (Photo Stream) — caso ele esteja ativado —, que também não é protegido pela verificação em duas etapas.

Assim, podemos concluir que mesmo se todas essas celebridades tivessem a verificação em duas etapas ativada em suas contas, elas ainda estariam vulneráveis ao tal ataque por uma falha de segurança da Apple, já que a empresa sabe que tais recursos do iCloud não são protegidos pela verificação em duas etapas.

Não é à toa que as ações da empresa estão neste momento caindo cerca de 3,5%. E não duvido nada que o evento da semana que vem seja afetado por esses acontecimentos, afinal, a credibilidade da empresa (ao menos do quesito segurança) está abalada, e isso ninguém pode negar.

Posts relacionados

Comentários