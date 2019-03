A Apple sabia da existência de uma brecha de segurança no iCloud, que deixava informações de usuários expostas, pelo menos desde março deste ano. Ou pelo menos é isso que garante o site Daily Dot, que teve acesso a e-mails trocados entre a empresa e o especialista Ibrahim Balic, que afirmou ter encontrado e relatado o caso à companhia ainda no fim do primeiro trimestre.

A vulnerabilidade descrita por ele permitia que um invasor burlasse a função que protegia as contas de ataques de brute force, aqueles em que um cibercriminoso experimenta várias combinações diferentes em um mesmo login. Graças à falha, Balic diz ter conseguido testar pelo menos 20 mil senhas diferentes, algo que não deveria ser possível em um sistema mais protegido – que impediria novas tentativas após quatro ou cinco erradas, por exemplo, e avisaria o dono da conta.

O problema é similar a um relatado logo após o vazamento de fotos íntimas de celebridades, no começo do mês. Horas após o ocorrido, o site The Next Web encontrou no GitHub um script em Python chamado de iBrute, que ajudava um invasor a testar várias senhas de contas no iCloud ao automatizar o ataque de força bruta.

Na ocasião, a Apple correu para corrigir a falha que permitia o funcionamento do código e ainda negou uma possível relação entre a brecha e a divulgação das imagens. Mas conforme mostrou o Daily Dot, a brecha relatada por Balic seguiu aberta até maio, pelo menos, quando o especialista tentou avisar a empresa novamente sobre o problema. Como resposta, porém, ele recebeu apenas um pedido por mais informações, como dá para ver por aqui.

De qualquer forma, apesar do aparente descuido, a vulnerabilidade que permitia os ataques de força bruta foi corrigida e a empresa não mudou o posicionamento. Ainda assim, mesmo que um pouco tarde demais, a segurança no acesso às contas foi reforçada e um sistema de autenticação em dois passos mais eficiente – embora ainda imperfeito, como afirma a ESET – foi adicionado. Aliás, caso você ainda não o tenha ativado, vale a pena conhecê-lo melhor.