Uns 2 anos atrás um desocupado hackeou os celulares de Scarlett Johansson, Mila Kunis e Christina Aguilera, iniciando um processo de chantagem ameaçando liberar fotos íntimas dessas atrizes. Movido pela ganância o sujeito virou alvo do FBI, que correu atrás e no final DUAS fotos da Scarlett foram soltas na Internet e o cidadão chamado Christopher Chaney foi preso julgado condenado e sentenciado a 10 anos de cadeia.
Na época foi considerado o maior escândalo de divulgação de fotos da História da Internet. Pffft.
Agora, em um evento que foi batizado de The Fappening, milhares de fotos de dezenas de celebridades, encabeçadas pela Jennifer Lawrence foram divulgadas. Há relatos que o invasor havia recebido ofertas na casa de US$100 mil por parte do TMZ, mas mesmo um hacker canalha sem respeito nenhum pela dignidade alheia tem um limite ético, e trabalhar com o TMZ viola isso.
A enxurrada de fotos (como quase tudo na Internet) começou no 4Chan, foi organizada no Reddit e em alguns dias chegará ao 9Gag, quando então você receberá a novidade daquele seu amigo que acha o 9Gag o máximo em comédia. A mídia, claro, está indignada, inclusive o Huffington Post, que mantém uma editoria Sideboob.
Na tradicional mania humana de querer culpados, a bola da vez foi a Apple. Alguns posts se identificando no 4Chan como o hacker original declararam o iCloud como Pwned. Há gente especulando os efeitos no lançamento do iPhone 6, outros já estão cobrando explicações da Apple. Ela é a culpada?
Sim e não. Foi disponibilizado no Github um script para descoberta de senhas no iCloud, mas essencialmente é um ataque de força bruta, algo pobre e rasteiro, onde palavras de um dicionário de senhas são testadas uma a uma. Funcionar, funciona, e aí por culpa da Apple. Aparentemente usaram uma API obscura do iCloud, que não detecta tentativas sucessivas de login, nem toma medidas como bloquear temporariamente o IP de origem.
Para complicar a situação várias das celebridades “vazadas” usavam Android, e no meio dos arquivos divulgados há vídeos, coisa que o iCloud não guarda. O buraco, se me perdoam o trocadilho, é mais embaixo.
Não há um grande vazamento da Apple, há, sim, uma confluência de falhas de todos os lados. Lembre-se, o mesmo usuário que exige proteção total de seus dados acha um incômodo inaceitável usar autenticação em dois níveis, e se recusa a guardar senhas de mais de 5 caracteres. Quando o faz, é nome do filho, ou pior. Aliás, bem pior. Veja a lista das 10 passwords mais usadas em 2013:
- 123456
- password
- 12345678
- qwerty
- abc123
- 123456789
- 111111
- 1234567
- iloveyou
- adobe123
Complicado dizer que um sujeito que tem a password “123456” hackeada é vítima de um terrível e implacável hacker. Pombas, é a mesma senha que uso em minhas malas.
Notem, não estou “culpando a vítima”, estou culpando a cultura da preguiça, tanto do usuário, em tomar providências para se proteger, quanto das empresas, que não auditam suas APIs nem fazem testes reais de stress. Ou, em alguns casos são criminosamente irresponsáveis, como um aplicativo de iPhone que mandava fotos privadas disponibilizando em URLs públicas.
A única forma de tornar esse tipo de invasão de privacidade algo raro (eliminar é utopia) é exigir legalmente que as empresas se responsabilizem pelos dados que armazenam. Independente da incompetência do usuário. Um exemplo: Não importa o quão convincente você seja, nenhum hospital vai deixar que seu primo mecânico de motos faça sua cirurgia de cérebro. Você pode garantir que ele é fera, saca de tudo, a resposta será não.
Um fabricante de carros é responsável se o tanque de gasolina cair sozinho e o bicho explodir, mas não é responsável se você esbucetar seu Monza a 200Km/h, bêbado em uma árvore. ESSE é o nível de responsabilidade que precisamos cobrar tanto de empresas quanto de usuários. Você sobe suas fotos pra nuvem, sabendo que elas estão seguras, dentro do razoável. A empresa por sua vez garante essa segurança SE você atender a certos requisitos, como escolher senhas complicadas, usar autenticação de dois níveis e não usar Apps suspeitos.
A alternativa proposta pelos paranóicos de segurança é irreal. Querem que ninguém use serviços de nuvem. Desculpe, não vai acontecer. Equivale a acabar com acidentes de avião fazendo com que ninguém mais viaje de avião. Fotos já vazaram de celulares e laptops roubados. Antes da invenção do YouTube a Pamela Anderson conquistou o mundo com sua sex tape em VHS, onde contracenava com uma sequoia gigante.
Há vazamentos de sex tapes antes da invenção da tape. Filmes em super-8 eram repassados de forma subversiva, até a Barbra Streisand – dizem – participou de um filme pra lá de explícito.
Não há vergonha em fazer fotos pelada. Não há vergonha em mandar essas fotos pro namorado, pro marido, pra amiga, ou postar no Instagram. Qualquer um que faça julgamentos morais sobre uma mulher por fazer fotos assim é um babaca completo e nem merecia ter visto as tais fotos.
O problema é que não dá pra lavar as mãos, pois não são só as fotos peladas que estão vulneráveis. São arquivos pessoais, informações comerciais, contratos, dados de saúde e muito mais. Quando hackearem o iPad do James Gunn e vazarem o roteiro do próximo Guardiões da Galáxia o prejuízo vai ser muito maior do que a perereca da Jennifer Lawrence.
A única forma de evitar esses vazamentos (ou piores) é não culpar a vítima, mas o usuário. E o fornecedor do serviço. Não importa o dado que você guarde, importa COMO você guarda e quem guarda pra você. É preciso que a responsabilidade legal seja séria o suficiente para que Apple, Google, Dropbox e outros pensem duas vezes antes de dar corda pro usuário se enforcar.
Chama-se cultura de segurança e é tão simples quanto trancar a porta antes de ir dormir.
Já os hackers continuarão a ser hackers e só são caçados depois do crime cometido. A rigor são os únicos culpados pelo mau uso dos serviços online, mas não vivemos em um mundo ideal.
Acima de tudo, é possível não ter culpa mas ter uma parcela da responsabilidade. Pense nisso da próxima vez que reclamar do Guardião 30h ou seja lá qual o “incômodo” que seu banco insiste em instalar em seu computador.