A Apple Friday negou os detalhes do relatório de ontem que um estudante australiano invadiu seus servidores no ano passado, baixou 90 GB de dados e acessou contas de clientes.
A Reuters citou um porta-voz da Apple dizendo:
O pessoal de segurança da informação da Apple descobriu o acesso não autorizado, o conteve e relatou o incidente à polícia. Queremos garantir aos nossos clientes que em nenhum momento durante esse incidente seus dados pessoais foram comprometidos.
Como informamos ontem, o jornal australiano The Age disse que o garoto, cujo nome não pode ser revelado por razões legais por ser um jovem infrator, conseguiu obter "chaves autorizadas" que concedem acesso de login aos usuários.
Ele conseguiu baixar cerca de 90 GB de "arquivos seguros".
O jornal afirmou que o garoto acessou as contas dos clientes como parte de sua ofensa. O garoto se declarou culpado de invadir os servidores da empresa depois que um ataque do FBI à casa de sua família revelou arquivos baixados em seu computador, juntamente com uma pasta que continha uma variedade de ferramentas e documentos para invadir.
A pasta foi divertidamente chamada de "hacky hack hack". O relatório acrescentou que o garoto se gabava de suas atividades no serviço de mensagens móveis WhatsApp. Ele alegadamente justificou suas ações dizendo aos investigadores que “sonhava” em trabalhar para a Apple.
No meu comentário à história original, escrevi que achava que o adolescente realmente não invadiu os servidores da Apple, contornando as proteções da Apple ou se apossando das chaves de criptografia. Em vez disso, argumentei, ele provavelmente obteve acesso a nomes de usuário e senhas de algumas contas do iCloud por meio de engenharia social, ataques de phishing ou outros métodos.
Ele provavelmente configuraria uma conta ofensiva do iCloud em seu próprio dispositivo e restauraria os dados de um usuário inocente, como fotos, mensagens, contatos e muito mais (ou seja, baixe 90 GB de "arquivos seguros").
Toda essa história me parece muito um daqueles hacks envolvendo o phishing do iCloud para roubar fotos nuas de celebridades. De fato, o relatório original afirmou que o garoto colocou as mãos em "chaves autorizadas" (credenciais de acesso para contas individuais do iCloud).
Pensamentos?