Due anni e dieci mesi di reclusione per intrusione informatica e furto aggravato di identità: questa è la condanna decisa dalla Procura del distretto orientale della Virginia nei confronti di Christopher Brannan, 31 anni, coinvolto nello scandalo Celebgate. A ottobre, l’ex professore di un istituto superiore si era dichiarato colpevole dell’intrusione negli account di oltre duecento persone, tra cui diverse celebrità, a cui aveva sottratto anche foto intime. Brannan era finito nel mirino degli investigatori dopo che, nel settembre del 2014, le fotografie di attrici e cantanti avevano iniziato a girare in rete.
Account Facebook, Yahoo e iCloud: quello che all’inizio era sembrato un hackeraggio era in realtà un consolidato metodo di intuizione delle credenziali degli utenti, unito a un sapiente uso delle mail di phishing. In alcuni casi Brannan è riuscito a introdursi negli account delle vittime ricorrendo alle funzioni di ripristino della password tramite domanda segreta. Alcuni servizi richiedono, al momento dell’iscrizione, che l’utente fornisca la risposta a domande come “qual è la strada in cui sei cresciuto” o “come si chiama tua madre da nubile”.
Informazioni che Brannan avrebbe ottenuto studiando i profili delle vittime in cerca delle risposte. Ma secondo quanto ricostruito dalla Procura, l’attaccante ha anche fatto ricorso a mail di phishing, che replicavano nello stile e nelle grafiche le comunicazioni ufficiali di Apple e nelle quali chiedeva alle inconsapevoli vittime di fornire le proprie credenziali per dei presunti controlli.
Former high school teacher sentenced to prison for “Celebgate” hacking. https://t.co/35Eo6dvRX8
— U.S. Attorney EDVA (@EDVAnews) March 1, 2019
Dalla darknet ai social network
La prima comparsa delle fotografie risale al 31 agosto 2014, quando un utente anonimo le ha condivise su 4Chan, sito creato per condividere immagini e commenti sui fumetti giapponesi e presto diventato una piazza virtuale della cultura underground del web. Protagoniste degli scatti erano famose attrici, cantanti e modelle (di cui si omettono i nomi in quanto oggi irrilevanti).
Secondo quanto ricostruito dalle autorità, le fotografie probabilmente circolavano già da tempo nella darknet – rete criptata a cui si può accedere solo attraverso software dedicati che consentono di nascondere l’identità dell’utente -, dove venivano usate come merce di scambio, in cambio di altre foto o per ottenere credenziali di accesso di altri account. In seguito alla pubblicazione, 4Chan aveva aderito al Regolamento Digitale sul Copyright (Digital Millennium Copyright Act takedown policy), che introduce la possibilità di eliminare i contenuti e rimuovere gli utenti nel caso di violazione dei diritti d’autore.
Le vicende giudiziarie legate al Celebgate iniziano nel luglio del 2016 con la condanna dell’allora ventinovenne Andrew Helton, riconosciuto colpevole di furto d’identità e intrusione informatica aggravata in centinaia di account Google e Apple, seguendo lo stesso schema utilizzato da Brannan. Pochi mesi dopo un altro truffatore, Ryan Collins, veniva condannato a 18 mesi di carcere e a pagare una penale di 250 mila dollari (circa 225 mila euro) per essersi introdotto in più di cento account Gmail e Apple.
Per il medesimo reato, un anno fa è stato condannato a otto mesi di carcere George Garofano, ritenuto colpevole di essersi introdotto in più di 200 account iCloud. Infine, nel 2017, Edward Majerczyk ha ricevuto nove mesi di prigione e ha pagato 5.700 dollari (circa 5 mila euro) a una vittima per aver violato più di 300 account iCloud e Gmail, secondo quanto riportato da Apple Insider.
Quella di Brannan potrebbe essere l’ultima condanna per una vicenda che ha visto più truffatori muoversi individualmente replicando il medesimo schema di furto delle credenziali. Da allora, tutte le aziende citate hanno introdotto sistemi di autenticazione a due fattori che vincolano l’accesso a un account all’utilizzo di un telefono cellulare che riceve la chiave di conferma.
Se avete correzioni, suggerimenti o commenti scrivete a [email protected].
Se invece volete rivelare informazioni su questa o altre storie, potete scriverci su Italialeaks, piattaforma progettata per contattare la nostra redazione in modo completamente anonimo.