luisdarui 3:25 am on February 4, 2019
Tags: Fotos, iCloud, iOS, Luisa Sonza, , Nudes, Privacy, Security, Segurança, Whindersson Nunes   

iCloud pode ser invadido?

Neste domingo (03/01/2019), um assunto tomou conta nas redes sociais: a suposta invasão ao iCloud e o Instagram da esposa do Whindersson Nunes, Luisa Sonza, que resultou em o vazamento de uma foto nua no Instagram Stories.

Enquanto alguns questionamentos foram feitos acerca do ocorrido, um me chamou a atenção: “Como hackeiam o iCloud de alguém?”. A pergunta é pertinente. Como eu posso responder… ser hackeado em 2019 é como um casal de namorados adolescentes engravidarem: falta de informação – ou irresponsabilidade!

Para entender o ocorrido, assista esse vídeo no G1.

Como uma pessoa ainda é hackeada hoje?

Bem, supostamente ela teve o iCloud invadido e o suposto hacker também teve acesso ao seu Instagram, onde postou uma foto nua no Instagram Stories enquanto ela dormia. O “supostamente” e “suposto” se dão ao fato de que não foi provado, dado que o ocorrido é um crime – Artigo 218-C do Código Penal, mas comunicação falsa de de crime também é.

Deixando as questões jurídicas de lado e falando mais sobre a parte técnica, existem várias possibilidades de alguém ser hackeado. Vamos explorar algumas lógicas, mas sem aprofundar sobre invasões, exploits, etc – o objetivo não é dar munição à quem quer causar mal, mas trazer um pouco de informação à quem pode ser – ou já foi vítima.

Apple ID

Para ter o acesso ao iCloud de alguém, é preciso primeiro saber qual é o Apple ID da pessoa. Através do Apple ID, é possível acessar o iCloud.

Algumas pessoas, fazem uma escolha óbvia e utilizam o mesmo endereço de e-mail que utilizam para todas as outras atividades, como se cadastrar no site de notícias, compras on-line, e-mail utilizado na faculdade, etc. E é aí que começa o problema. Talvez a ideia que muitos sites introduziram com os botões “Faça Logon com Facebook” e “Faça Logon com o Google” tenha ajudado a piorar a situação, criando uma falsa ideia de que é algo seguro ter apenas uma conta para todos os serviços (ou Single Sign-On).

Senha

Ter acesso ao Apple ID (e-mail) já é algo difícil, uma vez que a Apple não expõe essa informação aos desenvolvedores de Apps. Ter acesso à senha do Apple ID então deveria ser mais difícil ainda, correto? Porém as pessoas ainda utilizam senhas como “123456”, “querty” e data de nascimento, o que facilita muito a vida de quem está mal intencionado.

Vazamentos

Nos últimos anos, diversos sites e serviços sofreram invasões e tiveram vazamento de dados de seus usuários. Mas se a Apple e o iCloud não foram afetados, porque isso é relevante? É justamente pelo fato das pessoas terem o costume de usar o mesmo e-mail e até a mesma senha para diversos serviços. O site https://haveibeenpwned.com permite que você verifique se o seu e-mail já foi vazado em alguma vez – caso positivo, possivelmente uma de suas senhas também tenha sido vazado. A partir daí, o trabalho do hacker começa a ficar mais fácil.

Acesso às senhas

Se a pessoa mantém as senhas no Keychain e permite acesso ao KeyChain através do iCloud, é possível ter acesso à todas as senhas da pessoa, caso consiga acessar o iCloud. Se o Instagram ou Facebook estão inclusos lá, é possível conectar aos serviços e inclusive receber mensagens privadas, e também postar mensagens, Stories, etc.

Acesso ao dispositivo físico

Nesse caso, sempre que deixar seu dispositivo em uma assistência técnica, reinicie completamente o aparelho, de maneira que ninguém consiga acessar sua conta e seus dados.

Utilize uma senha segura no aparelho (nada de 123456), TouchID e FaceID trazem conveniência, mas podem também ser um problema – usar o seu dedo ou rosto para desbloquear o telefone enquanto você dorme, por exemplo.

O que pode ser feito então para reduzir os riscos de invasão?

Quando falo em “reduzir” é no sentido de orientar que não existe um sistema 100% seguro. Em outro momento posso vir a explorar os motivos, mas se assumirmos que nenhum sistema é 100% seguro, e que a preocupação e vigilância constante são extremamente importantes para potencializar a segurança dos seus dados.

Falando especificamente nesse cenário de Apple, iPhone e iCloud, algumas recomendações que podem ajudar a manter seus dados mais seguros.

1. Utilize um e-mail exclusivo para o seu Apple ID.

É possível mudar, a qualquer momento, o e-mail do seu Apple ID. Usar um e-mail exclusivo para isso pode diminuir drasticamente a chance de alguém descobrir o seu Apple ID. Sem o seu Apple ID, é improvável que alguém consiga acessar seus dados. Veja como alterar o seu Apple ID.

2. Utilize uma senha segura

A definição do que é uma senha é relativa, mas podemos simplificar em combinar diferentes caracteres, palavras, números, letras em maiúsculo e minúsculo, mas não exagere a ponto de você esquecer sua própria senha. Use referências e coisas que ajudem a lembrar.

O mais importante é não utilizar essa senha em nenhum outro serviço. Caso o LinkedIn tenha um novo vazamento, você não terá que se preocupar.

3) Autenticação de dois fatores

É uma maneira fácil de aumentar a segurança e diminuir os riscos de invasão ao iCloud e à sua conta Apple. A própria Apple explica em detalhes como funciona e como ativá-lo: neste artigo.

4) Não crie arquivos com usuários senhas ou escreva em post-it!

Um dos itens mais utilizados na engenharia social é localizar um arquivo de senhas ou anotações com usuários e senhas para finalmente ter acesso aos dados.

Ter acesso a um dispositivo físico seu, conectado ao iCloud, pode comprometer todos os outros itens. Logo, seja cuidadoso(a) com suas senhas!

—–

A maioria destas dicas podem ser aplicadas a outros serviços.