La colpa degli account violati di iCloud, un atto che aveva portato dalla diffusione di immagini di nudo e altre informazioni personali di celebrità di Hollywood, non era di Apple, ma principalmente delle celebrità stesse, cadute nella trappola tesa da un uomo, Ryan Collins, un 36enne della Pennsylvania. Lo schema perseguito, mentre attori e cantanti accusavano Apple di averle date in pasto ad un malintenzionato, era stato quasi subito intuibile, e viene ora certificato dalle indagini e dal colpevole stesso che ha accettato il patteggiamento e ora potrebbe costare a Collins fino a cinque anni di carcere.
Per due anni, quello che potremmo definire a tutti gli effetti un hacker, da novembre del 2012 a settembre del 2014, ha sfruttato meccanismi di phishing inviando mail presentate come se arrivassero da Apple o Google. Attrici come la protagonista di Hunger Games Jennifer Lawrence e Kirsten Dunst, la pop star Ariana Grande, l’attrice Mary Winstead ma anche Victoria Justice, Kirsten Dunst, Wynona Ryder, Avril Levigne e Rhianna erano cadute nel tranello e concesso i loro dati di accesso. Un software scaricava i backup iCloud, nei quali c’erano le foto, che venivano successivamente diffuse su vari server pubblici, violando la privacy e provocando “preoccupazioni, stress emotivo, imbarazzo e sensazione di insicurezza” nelle vittime.
La vicenda aveva suscitato molto rumore per la notorietà dei personaggi coinvolti, costringendo anche Tim Cook ad intervenire. Inizialmente si era pensato ad un bug di Trova il Mio iPhone ed Apple era stata genericamente messa sul banco degli imputati per avere predisposto un sistema di protezione troppo debole e qualcuno aveva anche provato ad intentare causa, ma in realtà ad essere debole era stata soprattutto l’attenzione delle vittime che avevano usato password facili ed erano anche cadute nel tranello predisposto dal Collins.
In ogni caso dopo che venne alla ribalta la vicenda, nel settembre del 2014 Apple aveva attivato meccanismi per rafforzare la sicurezza, quali l’invio di mail che avvisano in caso di tentativi di accesso agli account, password per l’accesso da parte di app di terze parti e abilitato universalmente i meccanismi di autenticazione a due fattori. Ora quando si immette l’ID Apple e la password per la prima volta su un nuovo dispositivo, verrà chiesto di confermare l’identità con un codice di verifica a sei cifre; questo codice viene visualizzato automaticamente sugli altri dispositivi disponibili agli utenti oppure inviato a un numero di telefono ritenuto sicuro dall’utente. Per accedere all’account sul nuovo dispositivo, l’utente deve immettere il codice in questione.
Ora l’imputato, accusato a Los Angeles anche se caso sarà trasferito a Harrisburg (Pennsylvania), potrà patteggiare la pena. Il massimo della condanna previsto in questi casi è di cinque anni; le parti hanno convenuto una detenzione di 18 mesi, una decisione che non è ad ogni modo vincolante nei confronti di quanto stabilirà il giudice.
Il caso rappresenta un ammonimento per tutti. Non si deve mai rispondere a mail che propongono l’inserimento di username e password, nella assoluta maggioranza sono link a siti web fraudolenti progettati per rubare i dati personali o informazioni come numeri di carte di credito, password, dati di account o altro. Il meccanismo usato è noto: i truffatori inviano milioni di messaggi email contenenti link a siti web di cui l’utente si fida: Google, Apple, Microsoft. Si chiede il nome di una banca, l’ente emittente di una carta di credito e così via, chiedendo informazioni personali. I criminali sfruttano tali informazioni per perpetrare diversi di frode, ad esempio rubare denaro da un conto, aprire nuovi conti a nostro nome o ottenere documenti ufficiali usando l’identità dell’utente.