Jennifer Lawrence, Kate Upton: così gli hacker hanno rubato le foto

Le foto e i video rubati ai Vip (foto Buzzfeed)

ROMA – Moltissime immagini private delle star di Hollywood ha iniziato a diffondersi online sul forum 4Chan, facendo entrare nel panico l’intero show business americano.

La lista delle star coinvolte nella violazione è enorme: Aly e AJ Michalka, Aubrey Plaza, Abby Elliott, Avril Lavigne, Amber Heard, Brie Larson, Candice Swanepoel, Cara Delevigne, Emily Ratjakowski, Farrah Abraham, Gabrielle Union, Hayden Pannettiere, Hope Solo, Hillary Duff, Jennifer Lawrence (qui le foto), Jenny McCarthy, Kayley Cuoco, Kate Upton (qui le foto), Kate Bosworth, Keke Palmer, Kim Kardashian, Kirsten Dunst, Krysten Ritter, Lea Michele, Lizzy Caplan, Mary Kate Olsen, Mary Elizabeth Winstead, Rihanna, Scarlet Johansson, Selena Gomez, Vanessa Hudgens, Wynona Ryder, Alison Brie e Dave Franco.

Il popolare sito statunitense Buzzfeed, è stato il primo a seguire da vicino la vicenda ed ha anche intervistato la portavoce di Jennifer Lawrence: “Si tratta di violazione della privacy. Le autorità sono già state contattate e perseguiranno chiunque pubblichi le foto rubate di Jennifer Lawrence”.

Le foto sono state ottenute attraverso una violazione di enorme portata all’interno del servizio di cloud storage proprietario di Apple, iCloud. Sono state pubblicate sul forum 4Chan da alcuni utenti che hanno cercato di rendere proficuo l’atto criminoso richiedendo pagamenti via bitcoin in cambio di ulteriori foto e video di celebrità nude: “L’hacker sostiene di avere anche alcuni video espliciti di Lawrence, e oltre 60 selfie da nuda dell’attrice vincitrice degli Oscar”, scrive Buzzfeed.

Sull’iPhone ogni foto scattata viene automaticamente immagazzinata attraverso una funzionalità chiamata Photo Stream. Al momento, questa non consente il salvataggio automatico di video, che possono tuttavia essere caricati manualmente su iCloud.

Gli hacker sono entrati utilizzando un codice in Python che agiva sulla funzionalità “Trova il mio iPhone“. La vulnerabilità di iCloud in questa specifica funzionalità era di non prevedere protocolli di sicurezza per proteggersi da attacchi “Brute force”, letteralmente “forza bruta”, implementati invece nella restante giurisdizione dell’account.

In sostanza, gli hacker hanno utilizzato un programmino (“script”) in grado di inserire migliaia di password, ripetutamente e velocemente, per provare a “beccare” quella giusta. Un vero e proprio assedio digitale, che però iCloud è strutturato per bloccare, anzitutto segnalando all’utente i ripetuti tentativi di accesso, e poi bloccando completamente l’account fino al ripristino da parte l’utente stesso, allertato del probabile attacco, attraverso un accesso riuscito.

“Trova il mio iPhone” era una sezione di iCloud in cui secondo gli esperti che hanno ricostruito quanto accaduto, riporta Repubblica, il protocollo anti-forza bruta non era previsto (ora è stato corretto). Tutto quello che i malintenzionati dovevano fare era trovare l’indirizzo di email collegato all’account di quei vip e poi far partire lo script. E una volta dentro, avere accesso a tutto il resto del profilo dell’utente nel cloud di Apple.