Fappening: una lezione di privacy digitale per tutti

Nel 2014 una vera e proprie tempesta mediatica attraversò internet, in un periodo in cui la sensibilizzazione ai temi della privacy online si stava facendo sentire sempre di più: varie foto private o intime di diversi attori ed attrici, prelevate direttamente dagli iPhone degli stessi mediante un elaborato phishing, vennero scaricate e messe online senza il loro consenso. Seguì una causa intentata a diversi siti che aveva pubblicato queste foto, la cui circolazione è attualmente decisamente limitata anche per via di una diffida legale a tutti i siti che le ripubblicheranno in futuro.

Che cosa è stato il fappening

Il CelebGate o fappening, così come è stato chiamato dal popolo del web all’epoca, richiama ovviamente la masturbazione (fap) ed un meme (it’s happening), scoppiò ufficiale nell’agosto 2014, e fece venire a molti vari dubbi, perplessità ed ovviamente polemiche. Vari persone comuni, negli anni successivi e anche in Italia, furono vittima dello stesso furto di dati e diffusione di foto intime, a volte addirittura con esiti tragici della vicenda.

Varie celebrità furono vittima del futuro: circolarono foto di nudi o molto intime (anche durante rapporti sessuali in alcuni casi) di vari attrici ed attori, e furono più volte esposte su vari siti e circolarono pure, a quanto pare, nel dark web. Google fu costretta a limitare i risultati di ricerca per evitare di facilitare quelle ricerche.

Adesso che la tempesta mediatica sembra essere trascorsa, è bene fermarsi un attimo a riflettere sulle priorità informatiche che questo furto di foto di VIP ci ha lasciato in eredità. Bisogna considerare che questo leak (cioè furto) di dati riservati – foto e video privati tratti da smartphone personali  e memorizzati su iCloud, in particolare (a quanto si seppe in seguito) mediante l’invio di email di phishing – è un rischio che corriamo tutti, ogni giorno che trascorriamo su internet. Bisogna quindi fare molta attenzione che le nostro foto più riservate, quelle che spensieratamente abbiamo scattato sul nostro cellulare, non vengano copiate senza che lo sappiamo come backup automatici (cosa che fanno, spesso di default, sia i telefoni Android che quelli Apple e Windows). Sarebbe il caso di saperlo e di imparare ad usare correttamente questi strumenti.

A provocare il fappening non è stata quindi una falla di Apple, come molti avevano scritto all’inizio, bensì un attacco mirato ai cellulari della Cuoco, della Upton e di tutte le altre vittime (tra cui i compagni di molte delle VIP) nel modo, se vogliamo, più banale: indovinando username e password di quegli account. Sebbene Apple abbia una politica di scelta delle password abbastanza rigida e sicura (supporta sia AES che SSL), non è bastata per arginare una certa imperizia da parte delle vittime, che così hanno subito questo furto di informazioni a cui, ricordiamolo, siamo esposti anche noi con i nostri dispositivi. Non fu un problema di Apple, insomma (almeno non lo fu completamente), bensì fu frutto dell’imperizia degli utenti nell’utilizzare strumenti come iCloud, senza considerare che spesso gli utenti non considerano abbastanza che foto e video che scattano sul telefono finiscono periodicamente nel loro cloud. Sarebbe successo lo stesso, ad esempio, con i servizi di Google o Microsoft, anche se molti all’epoca usarono questo caso per attaccare e diffidare da Apple (che invece, per la verità, ha sempre potenziato negli anni successivi le misura di sicurezza in tal senso, per quanto i loro utenti medi non siano sempre troppo sensibili sul tema).

Come proteggersi da furti di dati tipo fappening

Se Apple quindi suggeriva di attivare l’autenticazione a due fattori sui nostri account – ci vuole poco per farlo, e staremo tutti più tranquilli – è altresì consigliabile:

  1. cambiare la password del nostro account iPhone o Gmail per Android o Windows Phone una volta al mese, come regola fissa;
  2. attivare la suddetta autenticazione in modo che per accedere la prima volta ai nostri dati sia necessario inserire una One-time password unica che ci arriverà sul nostro telefono (leggasi: se l’attaccante non ci ruba anche il cellulare non potrà accedere);
  3. evitare di condividere dati riservati (carte di credito, foto riservate) e tenerli quanto più possibile alla larga da dispositivi che si connettono ad internet (il backup dei dati del telefono su Android, ad esempio, avviene ogni volta che c’è un wireless point libero e scatta senza che ce ne accorgiamo e senza che diamo alcun permesso);

Questa la lezione di sicurezza che dovremmo aver imparato un po’ tutti, si spera, dopo questo evento di cui moltissimo, ancora, si continuerà a parlare in rete. Maggiori approfondimenti sul tema sono sul sito di LegaNerd, sul quale tra l’altro è svelata con buona probabilità l’identità del leaker: un amministratore di rete che nelle screenshot dei file ha lasciato inavvertitamente dei riferimenti alla propria azienda, il che avrebbe permesso di identificarlo.

Come è avvenuto il fappening

Il fappening, come si scoprì poi in seguito da varie perizie indipendenti, si ricollegherebbe infatti ad una serie di email ingannevoli inviate da un americano, che ha ottenuto le password degli account dei VIP mediante phishing “mascherati” come provenienti da Apple. Questo chiarisce una volta per tutte che non si è trattata una falla informatica su iCloud, come qualcuno aveva sospettato, bensì di un più banale caso di social engineering, ovvero convincere con l’inganno le vittime a fornire le proprie credenziali di accesso via email. Lo rivela un rapporto dell’FBI pubblicato dal sito Gawker, all’epoca.

È noto ormai a tutti come sia avvenuto il furto (e successiva pubblicazione) di numerose foto intime tratte da cellulari di celebrità, e di come il materiale si sia diffuso sul web col nome di fappening: l’allarme, all’epoca, fu incentrato sul livello di sicurezza di servizi come iCloud e, al tempo stesso, sulle azioni troppo disinvolte che effettuano numerosi utenti. In effetti, alla base di questo leak o furto di informazioni riservate (sia filmati che video intimi) vi è stata un’azione concertata con grande cura.

Il Dipartimento di Giustizia americano ha pubblicato molti dettagli sul massivo furto di foto e video intimi direttamente dagli smartphone di oltre 100 persone, molte delle quali attrici americane. Se quindi è stata formalizzata l’accusa contro quello che sarebbe l’unico responsabile di quanto accaduto, non è stata trovata alcuna prova del fatto che la persona in questione sia responsabile direttamente della diffusione del materiale su internet (However, investigators have not uncovered any evidence linking Collins to the actual leaks or that Collins shared or uploaded the information he obtained)

A quanto risulta, inoltre, una delle vittime VIP (di cui sono riportate solo le iniziali, J. L.) avrebbe ricostruito quanto accaduto, permettendo di rilevare un fatto importante: ha infatti ricevuto una email farlocca dalla Apple, in pratica una comunicazione di phishing in cui era richiesto di cliccare un link per ripristinare il servizio, che ha permesso di rubare username e password molto probabilmente mediante un sito in tutto e per tutto simile a quello originale dell’azienda. La qualità della sicurezza di file storage come iCloud, quindi, è da mettere in discussione solo in parte: se è vero che il loro uso safe è stato recentemente potenziato mediante SSL, 2-factor auth e crittografia, in alcuni casi finora limitati (guarda i vari servizi di file storage gratuiti), resta la considerazione di fondo sull’inopportunità – in linee generali – di postare materiale, foto intime, documenti riservati e materiale interno su un servizio esterno, qualsiasi esso sia.

Conclusioni

L’appello per gli utenti è sempre il solito: diffidare da qualsiasi email che inviti a fornire le nostre credenziali di accesso (username e password in particolare), usare l’autenticazione a due fattori per proteggere i propri account più importanti (email e file hosting in particolare), evitare tassativamente di caricare foto private su dispositivi connessi ad internet ed evitare in generale di cliccare su link sconosciuti anche quando sembrano appetibili o del tutto affidabili.

Photo by relexahotels (Pixabay)

1 voto