Neste domingo, usuários anônimos no 4chan vazaram diversas fotos de celebridades nuas – a atriz Jennifer Lawrence, a modelo Kate Upton, a cantora Avril Lavigne e muitas outras. No Reddit, usuários dizem que o vazamento ocorreu devido a uma falha no iCloud, e fortes indícios apontam para isso.

Uma falha permitia “chutar” a senha de uma Apple ID repetidas vezes até acertar – é o clássico ataque por força bruta. A empresa HackApp, que possui uma ferramenta para segurança de apps móveis, criou o script chamado ibrute que permite aproveitar esta falha.

Ele foi divulgado um dia antes do vazamento das fotos. Vinicius Camacho Pinto, conhecido como K-max, diz que testou o script com sucesso.

A falha não estaria no iCloud em si, e na verdade em uma API utilizada pelo recurso Buscar Meu iPhone: ela não impede o acesso após três tentativas de login, como deveria acontecer.

Se confirmada, esta não seria a primeira falha grave do Buscar Meu iPhone: este ano, hackers usaram o recurso para “sequestrar” dispositivos iOS na Austrália e na Rússia.

A única forma de impedir que alguém acesse sua conta do iCloud após descobrir a senha é ativando a autenticação por dois fatores: com ela, você precisa inserir um código – recebido via SMS – para autorizar o acesso. Mas suspeitamos que a maioria dos usuários não utilize o recurso.

No entanto, há sinais de que hackers estavam acumulando as fotos vazadas há tempos. O Deadspin recebeu uma dica sobre isso há semanas, com os nomes que vazaram ontem, mas sem as imagens. E o Gawker suspeita que os envolvidos sejam usuários do site AnonIB, formado por ex-usuários do 4chan: o site é dedicado a fotos de não-celebridades nuas, mas um grupo de usuários teria obtido há uma semana as fotos que vazaram neste domingo. Um dos usuários diz que estava “rasgando iClouds”, em referência ao serviço na nuvem da Apple.

No Twitter, a Hackapp diz que a Apple corrigiu o problema, mas apenas em alguns países. Infelizmente, o estrago está feito: as atrizes Jennifer Lawrence e Mary Elizabeth Winstead já confirmaram que suas fotos vazadas são reais.

No total, 101 celebridades teriam sido hackeadas, mas não se sabe quantos dos vazamentos são autênticos: Ariana Grande e Victoria Justice dizem que suas fotos vazadas são falsas – uma delas realmente parece feita no Photoshop.

Usuários no 4chan e Twitter estão pedindo por dinheiro via PayPal e bitcoins para publicar mais fotos e vídeos das celebridades nuas. Mas os sites estão reagindo para remover o conteúdo: o Imgur está deletando as fotos vazadas o mais rápido possível, enquanto o Twitter está suspendendo contas que publicarem as imagens.

Um porta-voz da Jennifer Lawrence diz que “as autoridades foram contatadas e vão processar qualquer pessoa que publicar as fotos roubadas” da atriz. Em 2012, um homem de 35 anos foi condenado a dez anos de prisão por vazar fotos nuas de Scarlett Johansson que estavam no BlackBerry dela.

A Apple ainda não comentou o caso. [Vinícius K-max, Engadget, Gawker]

Foto por Eric Charbonneau/Invision for Twentieth Century Fox/AP Images