São Paulo - O iCloud, serviço usado para sincronizar imagens entre dispositivos da Apple, pode estar envolvido no caso de vazamento de fotos de celebridades que aconteceu neste fim de semana.

Uma brecha no sistema – corrigida apenas nesta segunda-feira – aparentemente serviu como porta de entrada para os invasores, que tiraram de lá uma boa parte dos retratos íntimos divulgados no fórum 4Chan.

As suspeitas caíram sobre o serviço tão logo as fotos foram publicadas na web, e ficaram mais fortes após o site The Next Web encontrar no GitHub um script em Python chamado de iBrute.

Criado pela empresa de segurança HackApp, o código permitia que um invasor adivinhasse as senhas de contas no iCloud apelando para um ataque “brute force” (ou “força bruta”).

O golpe consiste em adivinhar palavras-chave ao testar diversas delas repetidamente.

Invasores usam listas das combinações mais populares para facilitar o serviço, e no caso do iBrute a fonte era a lista das 500 mais famosas vindas da quebra de segurança na desenvolvedora RockYou, de 2009.

No caso do iCloud, o ataque só foi possível porque, aparentemente, medidas de segurança que ajudam a evitar invasões do tipo não foram implementadas na API do Find My iPhone (Buscar iPhone), serviço de localização integrado ao sistema.

O problema foi corrigido pela Apple nesta segunda-feira, de acordo com o The Next Web, e a empresa não quis comentar o caso ou informar por quanto tempo a brecha esteve aberta.

Mas se levarmos em conta a declaração da atriz Mary Winstead, que disse no Twitter que as fotos foram tiradas e deletadas “há tempos”, a falha pode estar aberta há pelo menos alguns meses – ou a fonte não foi exatamente o smartphone ou a conta da artista.

Outras possibilidades – Nem todas as celebridades afetadas pelo vazamento carregavam iPhones nas fotos, o que pode indicar o envolvimento de outros serviços no caso.

O site Business Insider incluiu o Dropbox no leque de suspeitos, indiciação que foi reforçada pela listagem de arquivos compartilhada por um analista de segurança no PasteBin.

Entre dados mostrados, estava um “Getting Started.pdf” típico de diretórios do serviço de armazenamento na nuvem.

Também não dá para desconsiderar a ação de pessoas próximas às artistas e famosas, como também ressaltou a reportagem, que coloca assistentes com acesso aos smartphones e câmeras entre eventuais vetores do vazamento.

O mesmo especialista responsável pela listagem de arquivos do PasteBin, aliás, afirma que o namorado de Kate Upton foi o hackeado no caso, e não a modelo.

Fora isso, ainda existe a teoria um pouco mais surreal envolvendo a rede Wi-Fi do Nokia Theatre, onde foi realizada a última cerimônia do Emmy, no dia 25 de agosto.

Celebridades podem ter conectado os respectivos smartphones no local, ficando assim suscetíveis a invasões de crackers próximos ao evento – como costuma acontecer em conferências de especialistas em segurança do porte da Black Hat e da DefCon.

Hipóteses e reação – De qualquer forma, todas essas ainda são apenas teorias, visto que os responsáveis pelos vazamentos não confirmaram onde obtiveram as fotos e os vídeos compartilhados – apesar de terem citado o iCloud em uma primeira postagem no 4Chan.

Mas se por acaso a origem for confirmada, uma nova discussão acerca da segurança dos sistemas e serviços de armazenamento na nuvem deve ser iniciada – afinal, a privacidade das vítimas foi violada, o que não deveria acontecer.

O tópico original foi removido do fórum, e o Imgur, onde estavam hospedadas as imagens (verdadeiras e falsas), está aos pouco as apagando do banco de dados.

O Twitter, por sua vez, chegou a bloquear neste fim de semana algumas contas que compartilharam links para os retratos.

Mas isso nem de longe deve ser suficiente: os hackers prometeram ainda mais material para os próximos dias, inclusive de outras celebridades, possivelmente para “retribuir” os pagamentos em Bitcoin feitos por usuários.

Fora que, tendo em vista que praticamente nada some por completo na internet, as imagens já divulgadas devem estar salvas em inúmeros computadores pelo mundo.

Ainda assim, se forem encontrados, os responsáveis pela divulgação inicial das fotos podem ter que encarar a prisão, como visto em casos recentes.

Em 2012, por exemplo, um cracker foi condenado a 10 anos de cadeia por invadir as contas de e-mail de atrizes como Scarlett Johansson e Mila Kunis, encontrar fotos íntimas e publicá-las na internet.