Procesul prin care hackerii au furat fotografiile nud ale vedetelor nici măcar nu e impresionant

Selfie topless de pe Wikimedia Commons (NSFW)

În timpul weekendului, Emma Watson a intrat în conflict cu părțile urâte ale internetului când a vorbit în cadrul unei conferințe ONU despre drepturile femeilor. Cum a comis crima de a se declara deschis o apărătoare a drepturilor femeilor, unii oameni susțin acum că au selfie-uri cu Watson goală și au amenințat că o să le pună pe internet. Ar putea fi o farsă, dar pe de altă parte, incidentul recent în care un hacker a postat sute de fotografii intime furate din telefoanele vedetelor face amenințarea să pară plauzibilă.

Deși încă mai există câțiva jurnaliști care învinuiesc vedetele că țin selfie-uri nud pe telefon, majoritatea presei s-a arătat plictisită de situație. Poate că a obosit-o apetitul vorace al utilizatorilor de Reddit și 4chan pentru poze pixelate cu țâțe. La urma urmei, să furi pozele întunecate, de proastă calitate, pe care tipele le trimit iubiților lor ca să le transmită că sunt excitate e la fel de penal ca și cum le-ai fura radiografia de plămâni și te-ai masturba la conturul sfârcurilor lor.

Cu alte cuvinte, amenințarea împotriva Emmei Watson e similară cu activitatea celei mai ineficiente și penibile grupări teroriste din lume. Dar dacă fostul hacker și blogger Nik Cubrilovic are dreptate, probabil singurul lucru mai puțin impresionant decât fotografiile în sine e procesul de „hacking”.

Am vorbit cu Nik Cubrilovic despre cum au fost furate fotografiile astea. Inițial credeam că vom discuta despre cine e de vină când se întâmplă astfel de incidente malefice, dar în timpul conversației noastre, am aflat mai multe decât aș fi crezut despre depozitarea fotografiilor și securitatea online. Deși e posibil ca hackerul să fi folosit metoda clasică de spargere a firewall-ului ca să intre în telefoane, sunt mari șanse ca hoțul să fi cercetat viața vedetelor online și apoi să fi spus o grămadă de minciuni ca să obțină ce și-a dorit.

Selfie autorizat cu Nik Cubrilovic, din arhiva lui Nik Cubrilovic

VICE: Salut, Nik! Cine e de vină pentru furtul fotografiilor nud?
Nik Cubrilovic: Când vrei să transmiți o poveste publicului, acesta percepe chestiunea foarte binar: caută personajul pozitiv și pe cel negativ. Iar acesta e un caz în care, pe lângă hackerii care au spart conturile, vina – nu vina (e un cuvânt prea dur), ci responsabilitatea aparține multora.

Avem dreptate să dăm vina pe Apple?
Are Apple responsabilitatea să protejeze informațiile utilizatorilor? Da. Pentru că utilizatorii au încredere în ei.

Și de ce nu sunt destul de siguri?
Cel mai bun mod de a le explica vina e să privim lucrurile în această perspectivă: sunt trei furnizori majori de servicii mobile – toată lumea aparține de unul sau altul dintre aceste trei ecosisteme: avem Apple, care e disponibil pe iPhone, avem serviciile de depozitare Google, care sunt disponibile pe Android și avem serviciile de depozitare Microsoft, disponibile pe Nokia și alte dispozitive. Dintre acestea trei, Apple e singura companie care încă are probleme de securitate.

Deci face ceva diferit de celelalte și în cazul acesta, unul dintre lucrurile pe care îl face diferit de ceilalți doi furnizori majori a fost folosit pentru a sparge aceste conturi.

Ești împotriva întrebărilor de securitate pentru obținerea parolei?
A, clar. Întrebările de securitate sunt o mare greșeală. Google a renunțat la ele acum patru ani. Microsoft le-a abandonat complet acum trei ani. Deci, pe scurt, problema în acest caz e abilitatea de a reseta parola unui utilizator prin furnizarea datei de naștere a acestuia și răspunderea la două întrebări de securitate.

Întrebările alea de securitate mă făceau să mă simt în siguranță. Care e problema cu ele?
Când apeși butonul de resetare a parolei, îți arată două dintre cele trei întrebări pe care le-ai ales când ți-ai făcut contul și, dacă răspunzi la ele corect, îți permite accesul în cont. Schema cu întrebările era folosită offline în domeniul bancar în anii 1960 și 1970, ca să-ți dovedești identitatea. A fost adoptată și în mediul online în 1990, dar companiile și-au dat seama rapid că nu e deloc sigură pentru că în ziua de azi toată lumea postează informațiile astea online. Sunt mult mai ușor de găsit. E ușor să intri pe Facebook și să afli data de naștere a cuiva, școlile la care a fost, numele animalului său de companie și marca mașinii pe care o conduce. Informațiile celebrităților sunt și mai ușor de găsit pentru că informațiile lor sunt pe Wikipedia și pe o grămadă de site-uri tip tabloid.

Dacă mă prindeam ce ar fi răspuns Jennifer Lawrence la „orașul preferat” și „echipa de sport preferată” și îi știam data de naștere, aș fi putut intra în telefonul ei?
Corect. Și cineva chiar a făcut asta.

Cum poți fi sigur că așa s-a întâmplat?
Nu e confirmat 100%. În orice caz, știam pe unde umblă tipii ăștia. Știam ce forumuri frecventează și știam că fac toți parte dintr-o subcultură care hackuiește diverse conturi și fură fotografii pornografice de genul celor postate „din răzbunare”. Așa că am intrat pe forumurile astea și am vorbit cu membrii lor. Dacă citești tutorialele lor despre cum să spargi un cont – iar ăsta e chiar forumul unde au fost postate fotografiile nud – primul tutorial îți spune cum să răspunzi la întrebările de securitate.

E un forum pe care hackerii schimbă ponturi și își dau sfaturi?
Să-ți explică cum arată forumul. Cineva postează o fotografie cu o mașină, să zicem un Mercedes cafeniu, din anii ’90, parcat pe o plajă. Pur și simplu o mașină parcată la dracu-n praznic. Iar lângă ea e întrebarea: „Ce mașină e asta?” Tot vedeam genul ăsta de poze și întrebări. Inițial nu mi-am dat seama care-i faza cu ele. Și abia apoi m-am prins că una dintre întrebările de securitate de pe iCloud e „ce mașină conduci?”

Deci asta fac oamenii ăștia. Se uită la fotografiile publice ale persoanelor ale căror conturi vor să le spargă și caută fotografii cu mașinile lor. Apoi, dacă nu reușesc să le identifice, postează fotografiile pe forumuri și cer ajutorul celorlalți utilizatori.

Fac crowdsourcing pentru hacking?
Da. Și mi-a picat fisa când cineva a răspuns: „Uneori fetele le pun mașinilor porecle.” 90% din forumul ăsta pe asta se bazează – învață oamenii să spargă conturi prin metoda asta și le răspunde la întrebări. Îi învață tehnici despre cum să urmărești pe cineva online.

Ca să poți răspunde la aceste întrebări, trebuie să-ți cunoști ținta foarte bine. Trebuie să cauți enorm de multe informații despre ea. După care te duci pe contul ei și încerci să răspunzi la întrebări. Dacă intri pe un cont Apple, o să vezi că utilizatorii pot alege între zece sau doisprezece întrebări standard. Dar un urmăritor poate găsi răspunsurile la toate, dacă e destul de hotărât și insistent.

Dar cum se descurcă să afle adresa de mail a respectivei persoane?
Plătesc pentru a accesa baze de date precum intelious.com și alți câțiva furnizori unde poți introduce numele cuiva ca să-i găsești adresa. Plătești între doi și 60 de dolari și obții acces la informații. Deci dacă știi numele complet al cuiva și locul nașterii, poți să-l cauți în baza de date.

Există o metodă diferită dacă persoanele sunt faimoase?
A doua metodă e ingineria socială, prin care iei legătura cu un agent sau așa ceva și pretinzi că ești altcineva și încerci să obții adresa de mail prin el. Apoi mai e a treia metodă: după ce ai spart contul unei vedete, ai acces la lista ei de contacte și obții o grămadă de adrese de mail ale vedetelor. Cred că asta s-a întâmplat în acest caz recent. A fost spart contul unei celebrități care avea în listă contactele tuturor celorlalte.

Înseamnă că suntem toți expuși la acest pericol prin persoanele pe care le cunoaștem?
Noi îi spunem „veriga slabă”. Cu rețelele sociale și listele de contacte din ziua de azi, o verigă slabă e foarte ușor de găsit. Un atacator are nevoie să găsească o singură verigă slabă într-un cerc în care victima se simte în siguranță. Trebuie să ne protejăm toate indiciile și toate persoanele apropiate cu care suntem în contact pentru că, după cum probabil ai văzut, majoritatea furnizorilor de servicii de e-mail adaugă acum automat orice adresă de mail pe care ai folosit-o în lista de contacte.

Super. Deci tre’ să stăm toți cu frica-n sân. Mersi, Nik!

Urmărește-l pe Mike Pearl pe Twitter.

Traducere: Oana Maria Zaharia

Citește mai multe despre hackeri:

Faceți cunoștință cu colectivul de hackeri misterioși cărora le place să troleze anonim
Am discutat cu niște hackeri imorali cărora nu le pasă de sentimentele tale
Ubermorgen sunt „hackerii” noștri preferați
Anonymous a spart banca Americii