Aggiornamento 3 novembre 2016: Il 27 ottobre 2016, Ryan Collins è stato condannato a 18 mesi di prigione per il furto delle foto delle celebrità. Collins, un trentaseienne della Pennsylvania, ha attuato uno schema phishing per circa due anni, dal novembre del 2012, inviando email che sembravano provenire da Apple e Google e chiedendo le credenziali di accesso delle vittime ai servizi iCloud e Gmail. In totale avrebbe così avuto l'accesso a circa 50 account iCloud e 72 gmail, sottraendo informazioni e foto a circa 600 vittime.
Collins, però, non è stato condannato anche per la distribuzione e pubblicazione del materiale trafugato, non essendo state trovate prove a suo carico.
Collins rischiava 5 anni di carcere, ma petteggiando ha ottenuto uno sconto di pena.

--------------------

Il 31 agosto oltre 200 fotografie di celebrità, tra le quali molte ritraenti momenti intimi, vengono pubblicate sui siti 4chan e AnonIB e poi sul social Reddit (in seguito i siti hanno bloccato parte dei contenuti). L'evento viene subito battezzato The Fappening, riducendo un grave reato ad una forma di onanismo virtuale di massa (dall'unione tra The Happening=quello che accade, e il termine gergale fapping=masturbarsi).

Tra le vittime del trafugamento alcune celebrità ammettono l'autenticità delle foto, altre negano, in ogni caso si dicono inorridite dalla evidente violazione della privacy. Annunciano azioni legali sia contro chi ha commesso il furto delle immagini sia contro coloro che le ripubblicano. Si tratta di immagini sottratte dagli account iCloud, e quindi la pubblicazione può costituire violazione del copyright, pubblicazione di materiale proveniente da reato, trattamento illecito di dati personali, fino alla pedopornografia (una delle celebrità era ritratta da minorenne).

Apple si assolve

Fin dai primi leak delle immagini, il dibattito online si è polarizzato dapprima sull'hacker (o gli hacker) che ha rubato le immagini, in taluni casi additandolo come un adolescente, così titillando i timori dei tecnofobi che immaginano Internet come un oggetto pericoloso che un qualsiasi sbarbatello può "rompere" provocando immensi danni.
Poi Apple, dopo un'investigazione durata 40 ore (!), pubblica un comunicato nel quale conclude (!) che non c'è stata alcuna violazione dei server dell'azienda, ma si è trattato di attacchi a specifici account di singole persone: le password non erano sicure.
Quindi l'azienda si è immediatamente prodigata in consigli per i suoi utenti su come mettere in sicurezza i dati online, come realizzare password più complesse, come attivare il sistema a doppia autenticazione... Insomma ci spiega che quando l'azienda si perde i dati la colpa è sempre dell'"incompetenza" degli utenti.

L'attenzione si è rapidamente spostata sugli utenti, cioè le celebrità del caso, le password da loro utilizzate, la loro ingenuità, la loro sconsideratezza:

scommetto che Jlaw (Jennifer Lawrence) come password usava 'hungergames'... si sa che le celebrità vivono di gossip... vedi che le loro carriere saranno favorite... ma perché ritrarsi nudi? La gente normale non lo fa... e poi le foto di nudo le conservi online?... certo, nei film gli piace spogliarsi, ma quando poi ci capita di vederle nude gratis allora non gli va più bene... in fondo se la sono cercata...

Online è tutto un proliferare di articoli per insegnare agli utenti come tenere al sicuro i loro dati da loro stessi!

Ma cosa è realmente accaduto? E di chi è davvero la colpa?

Fiorente mercato

L'evento non è iniziato il 31, già nei giorni precedenti si è avuto il rilascio di poche ma significative immagini. Chi pubblicava precisava che si trattava di immagini tratte da video privati, per rilasciare i quali chiedeva pagamenti (in bitcoin).
The Fappening in realtà è solo la punta dell'iceberg. Esiste un fiorente mercato di immagini delle celebrità nude, al punto che vengono realizzati tantissimi fake, cioè fotomontaggi con la testa della celebrità inserita sul corpo, nudo, di qualcun altro intento in più o meno esplicite attività sessuali. Esistono intere comunità in rete (il “celeb n00d trading ring” è stato attivo per anni sul deep web) che si scambiano foto di questo tipo, laddove lo scambio avviene in privato e ben poco trapela al pubblico. E soprattutto le immagini vengono centellinate perché, è ovvio, secondo la legge della domanda e dell'offerta, se ci sono troppe immagini di una celebrità in giro, quelle immagini valgono ben poco.

Ingegneria sociale

L'obiettivo, quindi, è attaccare singoli e determinati account e in particolare i servizi di backup online integrati ormai in tutti i cellulari e i collegati servizi (Apple, Microsoft, Google).
Vi sono numerosi metodi per rubare queste immagini, si va da specifici strumenti software a forme di ingegneria sociale, cioè lo studio del comportamento di una persona al fine di carpirne delle informazioni. Un metodo semplice passa attraverso una funzione utile ma pericolosissima: il recupero della password di un account.

Se si dimentica la password di un account è sempre possibile cliccare sull'apposito link predisposto dal gestore del servizio per far partire una procedura di recupero della password. Basta conoscere la mail che si vuole attaccare (e spesso sono pubbliche, almeno per le celebrità è facile trovarle in rete), e poi seguire la procedura che implica la risposta a poche brevi domande.
In genere si tratta di domande standard (Google consente all'utente di creare le domande).

Nel caso di Sarah Palin, anch'essa vittima di furto di dati, le domande riguardavano il nome del cane e la sua data di nascita, pochi minuti di ricerca su Wikipedia, anche Facebook è un ottima fonte di notizie personali. Per le celebrità, la cui vita è minuziosamente dettagliata sui giornali, è facile recuperare notizie sufficienti al recupero della password.
I ladri poi raccolgono foto e altre informazioni per venderle un po' alla volta (per non inflazionarle).

A questo punto diventa chiaro che il massiccio leak non ha molto senso. Perché regalare immagini che potrebbero valere anche parecchio, specialmente se rischi il carcere per procurartele?
The Fappening in realtà ha costretto l'emersione di questo fenomeno, al punto che le celebrità si sono adirate e hanno denunciato. Di seguito Apple si è dovuto occupare della questione, ma anche l'FBI ha iniziato le indagini sul caso. Quindi, qualche noob (inesperto) ha sbagliato qualcosa, oppure semplicemente qualcuno ha voluto distruggere il giro d'affari di qualcun altro?

Probabilmente non lo sapremo mai, ma una cosa è certa, il furto delle immagini non è avvenuto in un solo episodio, piuttosto si tratta di sottrazioni avvenute in mesi, forse anni (questo spiega perché tra le immagini trapelate alcune, secondo le celebrità ritratte, non dovevano esserci perché cancellate da tempo, anche se la spiegazione più ovvia è che i servizi di cloud non cancellano davvero - se non dopo parecchio tempo - per consentire il recupero di file eliminati per errore), sfruttando tecniche di ingegneria sociale ma anche, probabilmente, qualche falla nella sicurezza di servizi online.

Vulnerabilità

Qualcuno ha, infatti, adombrato che nel caso in questione si sarebbe sfruttata una falla nella sicurezza dei server Apple, in particolare il servizio FindMyPhone presentava una vulnerabilità (ibrute: It uses Find My Iphone service API, where bruteforce protection was not implemented. Password list was generated from top 500 RockYou leaked passwords, which satisfy appleID password policy).

Tutti i sistemi di autenticazione in genere bloccano l'accesso dopo un limitato numero di tentativi con credenziali errate, così quello specifico utente non può provare all'infinito. Il servizio FindMyPhone non presentava questo sistema di limitazione, così permettendo illimitati tentativi tramite la tecnica del brute force. Apple si è affannata a sostenere che il furto dei dati è stato la conseguenza di attacchi mirati a singoli account e che non c'è stata alcuna violazione dei server. Ma il comunicato sibillino non esclude che il furto possa essere avvenuto sfruttando questa vulnerabilità. Come già detto è probabile che le immagini siano state trafugate durante un lungo arco temporale, ma è significativo che il giorno dopo la pubblicazione delle 200 immagini Apple chiude la falla.

Ma non basta. ICloud è uno dei sistemi di backup online più attaccato, prima di tutto perché gli smartphone Apple sono molto apprezzati dai Vip, ma anche perché il backup online delle foto (picture roll backup) avviene in automatico, cioè è attivo di default senza che l'utente debba fare alcunché. In questo senso è anche possibile che l'utente semplicemente non sappia che le foto che scatta vengono copiate anche online (questo per rispondere a chi si chiede perché caricare le proprie foto di nudo online).

Nei sistemi Windows Phone, il backup, invece, è disabilitato di default e deve essere attivato specificamente dall'utente, nei sistemi Android il backup è fornito da applicazioni di terze parti (anch'esse prese di mira dagli hacker).

E ancora. Secondo Nick Cubrilovic, esperto di sicurezza, gli account Apple appaiono particolarmente vulnerabili ad attacchi basati sull'ingegneria sociale. Questo perché la procedura di recupero delle password è carente sotto il profilo della sicurezza. È sufficiente inserire un indirizzo mail in un apposito form online predisposto da Apple per sapere se è una mail vera. Dopo di ché la procedura di recupero è organizzata in passi (verifica mail, poi data di nascita, poi due domande di sicurezza). Ad ogni passo l'utente ottiene una risposta, potendo così capire esattamente quale delle informazioni è errata. Così è facile riprovare, anche tramite brute force.
Questo sistema di recupero password è una enorme vulnerabilità, specialmente per le celebrità i dettagli della cui vita sono conosciuti o conoscibili da chiunque. Occorrerebbe, invece,includere l'intera procedura in un solo passo nel quale il sistema non fornisce aiuto di alcun tipo.
Perché ciò non accade? Perché un sistema di questo genere deve essere il più appetibile possibile per gli utenti, specialmente quelli molto giovani, e quindi deve essere semplice, perché se fosse più complesso probabilmente venderebbe di meno!

Quale privacy?

Allora, invece di accusare la sconsideratezza delle celebrità nell'uso del dispositivo (che invece si comportano come la totalità degli utenti), invece di condannare l'ingenuità nell'uso di password semplici (cosa che fanno quasi tutti), dovremo cominciare a capire che il miglior modo di evitare problemi di questo tipo è che le immagini rimangano nella disponibilità dell'utente e non del gestore del servizio, che il controllo dei dati deve rimanere nelle mani degli utenti, che devono essere gli utenti a stabilire quali dati vogliono concedere alle aziende, che occorre un consenso espresso prima che un servizio si appropri dei dati personali di un utente, perché scattare qualche foto non vuol dire autorizzare Apple ad appropriarsene.

E soprattutto dovremmo cominciare a pretendere un livello di sicurezza adeguato per i nostri dati, e che le multinazionali non si trincerino dietro l'ennesimo bug, perché anche se consentiamo la copia delle foto online lo facciamo fidandoci del fatto che quei dati non finiscano nelle mani di sconosciuti. Insomma, dobbiamo prendere coscienza che le multinazionali non sono servizi pubblici, bensì aziende private che agiscono a fini di profitto, le quali hanno necessità di acquisire quanti più dati personali possibili perché è il dato personale che misura il gradimento del servizio o del prodotto.

Apple ha sostenuto che non c'è stata alcuna violazione dei server di iCloud (del resto quando venne alla luce il problema dell'antenna dell'iPhone, Apple sostenne che la colpa era degli utenti che tenevano male il telefono!), ma ha ammesso che c'è stata una violazione dei singoli account di iCloud (c'è grande differenza?). E il giorno dopo tappa la vulnerabilità del servizio FindMyPhone.
Da quanto tempo quel servizio è attivo? Da quanto tempo quel servizio è vulnerabile agli attacchi brute force? Da quanto tempo esisteva questa “porta di accesso” ai dati degli utenti?

È vero che la legislazione americana è meno tutelante per la privacy rispetto a quella europea, ma a questo punto dovremmo chiederci se un'azienda che tratta quotidianamente miliardi di dati personali di milioni di persone nel mondo può permettersi una vulnerabilità del genere. La normativa europea chiede espressamente ai titolari del trattamento di dati personali di applicare ai dati trattati delle misure minime di protezione. Una vulnerabilità di questo tipo, inserita nel sistema da quando è nato il servizio FindMyPhone, è un semplice bug oppure una violazione delle norme che pretendono una sicurezza adeguata per i dati personali trattati dalle aziende?

Punti di vista

Non solo a livello normativo ma proprio la prospettiva sulla tutela dei dati personali differisce alquanto tra Europa e Usa.
Gli americani considerano la tutela della privacy come qualcosa che afferisce non al momento della raccolta dei dati, bensì al momento dell'utilizzo. Negli Usa si ritiene che la privacy non si tuteli impedendo una raccolta indiscriminata, bensì evitando l'utilizzo illecito di questo dati.

Quindi si consente alle aziende una raccolta indiscriminata e spesso senza alcun consenso (l'opt-out, cioè quando una specifica funzione è attivata di default finché l'utente non la disattiva è un espediente per aggirare il consenso dell'utente), cosa che è utile non solo alle aziende, che fanno affari miliardari con i dati degli utenti, ma anche al governo che li utilizza per una sorveglianza di massa. Nel contempo però si vieta l'utilizzo illecito, come ad esempio la mancata assunzione di una persona perché ha un figlio malato (che poi non è proprio semplice dimostrare che la mancata assunzione o il licenziamento dipende da quella circostanza, e comunque per farlo dovresti avviare una costosa azione legale).

Questa idea non è condivisa, per fortuna, in Europa, dove la tutela è anticipata al momento della raccolta dei dati, pretendendo un consenso preventivo e consapevole, ed impedendo una raccolta di dati eccessiva e non pertinente alle finalità della raccolta. Purtroppo gli standard europei sono sotto attacco da parte del lobbismo Usa da quando è stata posta in cantiere la riforma europea della normativa in materia, tuttora ferma e che probabilmente riceverà un durissimo colpo in seguito all'approvazione del TTIP.

meanwhile inside Apple - "they are all talking about how people shouldn't take photos, I can't believe that worked"

— nik cubrilovic (@nikcub) 2 Settembre 2014