Ciberdelincuente hackeó cuentas de iCloud para robar miles de fotos íntimas
Un sujeto de California se hizo pasar por un técnico de atención al cliente de Apple. Él desarrollo una campaña de correo electrónico empleando ingeniería social que le permitió robar las contraseñas de iCloud de las personas. Posteriormente, utilizó las credenciales para ingresar a las cuentas y obtener más de 620,000 fotos y videos privados.
Hao Kuo Chi, de 40 años, acordó declararse culpable de cuatro delitos graves, incluida la conspiración para obtener acceso no autorizado a una computadora. Él participó en una estafa que en última instancia tenía como objetivo robar y compartir imágenes de mujeres jóvenes desnudas. Esto según los registros judiciales y un informe de Los Angeles Times.
Chi admitió que se promocionaba a sí mismo como un hacker a sueldo que podría ingresar a las cuentas de iCloud. El individuo se identificaba con el apodo de “icloudripper4you”. Posteriormente, engañaba a las personas para que le entregaran sus IDs y contraseñas de Apple para poder robar fotos de donde estaban almacenadas en la nube en los servidores de Apple.
“Ni siquiera sé quién estuvo involucrado”, dijo Chi al LA Times, según el informe.
Numerosos riesgos de privacidad
El caso subraya el mayor riesgo de privacidad que enfrentan las personas cuando utilizan servicios basados en la nube de socios confiables como Apple. Los usuarios generalmente usan los servicios para almacenar imágenes personales y otra información en línea. Con las campañas de phishing de ingeniería social de los delincuentes que parecen cada vez más convincentes, es cada vez más fácil para los ciberdelincuentes inteligentes engañar a las personas para que entreguen las credenciales que ponen en riesgo sus datos almacenados.
El caso también plantea nuevas preguntas sobre una reciente divulgación por parte de Apple. Específicamente, sobre su lanzamiento planificado de una función destinada a detectar imágenes de material de abuso sexual infantil (CSAM) almacenadas en iCloud Photos. La iniciativa ya está siendo criticada por grupos de privacidad como Electronic Frontier Foundation para el agujero de seguridad que se abre.
La fundación advirtió que el proceso de identificar imágenes CSAM esencialmente reduce la definición de cifrado de extremo a extremo para permitir el acceso del lado del cliente. Es decir, significa que Apple está construyendo una puerta trasera en su almacenamiento de datos, según dijo la fundación. Esto podría abrir iCloud a más riesgos de seguridad potenciales.
Ingeniería social
Chi no utilizó ninguna vulnerabilidad de seguridad en su actividad criminal, según dijeron las fuentes. En su lugar, usó dos direcciones de Gmail que parecían lo suficientemente legítimas para las víctimas como para hacer que entregaran su información de inicio de sesión de iCloud. Según reveló el FBI en sus investigaciones, las convincentes direcciones de correo utilizadas por el ciberdelincuente fueron “applebackupicloud” y “backupagenticloud”.
Combinadas, las dos cuentas incluían 500,000 correos electrónicos, 4,700 de los cuales contenían IDs de usuario de iCloud y contraseñas que las víctimas enviaron voluntariamente a Chi.
Una vez que tenía las credenciales, Chi ingresaba a la cuenta de iCloud de un titular de cuenta en particular a pedido de quien lo contratara para el trabajo. Las partes utilizaron Dropbox para intercambiar fotos, con la cuenta de Dropbox de Chi que incluyó alrededor de 620,000 fotos y 9,000 videos. Según el agente del FBI Anthony Bossone, el material robado se organizaba en función de si contenían imágenes de desnudos.
Estafas
Las autoridades federales se dieron cuenta de la actividad de Chi en marzo de 2018. Según Bossone Esto ocurrió después de que una empresa de California que se especializa en eliminar fotos de celebridades de Internet notificara a una figura pública no identificada en Tampa, Florida, que se habían publicado fotos desnudas de la persona en sitios web pornográficos. Más tarde descubrieron que la víctima había almacenado las fotos robadas en un iPhone y las había guardado en iCloud.
Finalmente, los investigadores rastrearon el inicio de sesión en la cuenta de iCloud de la víctima hasta una dirección de Internet en la casa de Chi en La Puente, California. Según el reporte, el FBI construyó un caso contra Chi utilizando registros obtenidos de Dropbox, Google, Apple, Facebook y Charter Communications,
Finalmente, la FIB obtuvo una orden de registro para allanar la casa de Chi, donde encontraron evidencia incriminatoria que condujo a su arresto.
Chi acordó declararse culpable de un cargo de conspiración y tres cargos de obtener acceso no autorizado a una computadora protegida a principios de este mes. El sujeto acusado se enfrenta a una pena de hasta cinco años de prisión por cada uno de los cuatro delitos.