Lo que ocurre en la nube...
Varios correos hoy en mi bandeja de entrada sobre las fotos y vídeos de varias famosas difundidas en 4chan, entre ellas Jennifer Lawrence. La sospecha principal es una vulnerabilidad de iCloud en la API de* Find my Phone* que se ha publicado esta mañana en Github pero que por ahora ningún medio ha conseguido replicar porque Apple, supuestamente, la ha parcheado en pocos minutos.
Dos cosas extrañas sobre el caso:
-
Entre el contenido hay vídeos y iCloud no hace backup de vídeos.
-
Entre los archivos hay varios fakes y en la lista de afectadas al menos una persona que asegura usar exclusivamente Android.
Hay explicaciones para estas dos situaciones:
-
Los vídeos pueden haberse recuperado desde un backup completo del dispositivo -también accesible una vez se tiene la contraseña de iCloud-, o se pueden haber compartido en un Photostream público (pensando que la URL nunca saldría de las manos del destinatario).
-
Las fotos se tomaron con un Android pero se enviaron por mensaje a un iPhone y se guardaron en el carrete desde la aplicación de Mensajes, creándose una copia automática en iCloud.
Dado que se trata de una lista bastante grande de afectadas lo más probable es que sea una colección creada durante varios meses y con muchas fuentes (he leído que algunas de las fotos parecen hacer referencia a Dropbox y otras parecen capturadas desde Snapchat). Entre ellas, por supuesto, podría estar la vulnerabilidad de iCloud.
Lo más interesante es que la persona que intentó vender las fotos en 4chan ha sido identificada y está buscando abogado. Esto es lo que dice:
“I am not a hacker. I have no idea how the hell someone could hack into all those accounts”
Según Hamade, que usaba el nick BluntMastermind, él obtuvo las fotos a través de otros usuarios de 4chan y simplemente vio la oportunidad de ganar algunos bitcoins con la publicación.