Apple ha parlato e lo ha fatto ieri sera con un messaggio ufficiale alla stampa. L'azienda nega vi sia una breccia di iCloud alla base del leak di foto piccanti di attrici e star americane. Password deboli alla base del problema.
Il comunicato ufficiale diramato qualche ora fa da Apple conferma quello che gli esperti di sicurezza già avevano ipotizzato. Non c’è stata alcuna violazione generalizzata di iCloud, ma un semplice lavoro certosino di hacking sugli account delle star coinvolte nella diffusioni di foto private dal contenuto esplicito.
Ecco il messaggio diffuso da Apple:
“Vogliamo fornire un aggiornamento sull’indagine riguardo il furto di foto di alcune celebrità. Siamo indignati per il furto avvenuto e abbiamo immediatamente messo al lavoro gli ingegneri Apple per scoprirne la fonte. La privacy e la sicurezza dei nostri clienti è la cosa più importante per noi. Dopo più di 40 ore di indagine, abbiamo scoperto che gli account di alcune celebrità sono stati compromessi da un attacco estremamente specifico sugli user name, le password e le loro domande di sicurezza, una pratica che è divenuta fin troppo comune su Internet. Nessuno dei casi che abbiamo indagato è risultato collegabile ad una falla nei sistemi Apple, inclusi iCloud o Find My iPhone. Continuiamo a lavorare con le forze dell’ordine per aiutare ad identificare i criminali coinvolti.”
Una comunicazione chiara e diretta, che tuttavia sbriga un po’ troppo rapidamente la pratica. Nessuna falla non significa sicurezza totale. Un’assenza di controllo sugli attacchi brute force (come nel caso di Find My iPhone – problema prontamente patchato) è un problema di sicurezza. Volendo lo si può pure definire bug.
Di fatto è chiaro, anche dal report accuratissimo di Nik Cubrilovic (quasi un post-mortem non ufficiale), che alla base del leak dei giorni scorsi non c’è alcun tipo di hackeraggio di altissimo livello. I “fanatici” che hanno messo insieme la collezione di foto lo hanno fatto acquisendole online. L’origine delle immagini è quasi sempre la stessa: violazione degli account delle star grazie ad un misto di ingegneria sociale, determinazione nel profilare le vittime per indovinarne le riposte di sicurezza, password deboli.
I metodi per rendere più sicuri gli account iCloud sono alla portata di tutti, e forse sarebbe dovere “morale” di Apple renderli più accessibili, comprensibili “alle masse” oppure addirittura obbligatori. La realtà dei fatti è che per la maggior parte delle persone i sistemi di sicurezza aggiuntivi (quelli che in tanti reclamano) sono più che altro un fastidio, un impedimento che limita la fluidità del sistema. L’autenticazione a due fattori, disponibile per gli Apple ID in numerosi paesi del mondo, non è un passaggio semplice e di certo non brilla per usabilità.
Quello che manca, di sicuro, è una più diffusa cultura della sicurezza, la cui diffusione non può certo essere a carico di un unico soggetto. A rischio di suonare vagamente complottista: non credo che un’ampia campagna di sensibilizzazione sul tema della sicurezza online sia nell’agenda di istituzioni e governi. Specialmente quello statunitense.
