Nei giorni scorsi un gruppo di hacker che si fa chiamare “Turkish Crime Family” ha richiesto ad Apple un riscatto di 100 mila dollari in gift card iTunes o l’equivalente di 75 mila dollari in Bitocin o Ethereum, minacciando la cancellazione di qualche centinaio di milioni di account iCloud (e wiping remoto dei relativi iDevice collegati), le cui credenziali sono state ottenute in maniera ancora non del tutto chiara. Gli hacker, notificando le proprie intenzioni al sito web Motherboard, hanno fissato come scadenza per il pagamento il prossimo 7 aprile: se non avranno ricevuto alcun pagamento procederanno con il reset degli account.

La portata del danno potenziale che Turkish Crime Family pu effettivamente causare non ancora quantificabile: gli hacker affermano di essere in possesso delle credenziali di 300-600 milioni di account (una forbice un po’ troppo ampia) ma non possibile sapere con certezza quando esse siano state recuperate e se attualmente siano ancora valide ed attive.

Non altres chiaro in che modo gli hacker siano venuti in possesso di un numero cos consistente di informazioni. Poco dopo la diffusione della notizia, Apple ha rilasciato una dichiarazione a Fortune per chiarire che non si tratta di una volazione dei propri sistemi: “Non vi sono state violazioni in alcuno dei sistemi di Apple inclusi iCloud e Apple ID. La lista di indirizzi e password sembra essere stata ottenuta da servizi di terze parti precedentemente compromessi”. Una fonte anonima ma che sembra essere a conoscenza delle informazioni in mano a Turkish Crime Family indica che molte credenziali sembrano provenire da una violazione di LinkedIn risalente al 2012, suggerendo quindi che le vittime potenziali possano essere quegli utenti che sono soliti riutilizzare la propria combinazione di utente e password su pi servizi.

Intanto Turkish Crime Family, in una successiva azione nella propria strategia di ricatto, ha fornito a ZDNet UK una lista di 54 account inglesi come dimostrazione della validit dei dati in suo possesso. Questo ha permesso di scoprire qualche piccola informazione in pi: anzitutto ci sono account che risalgono – in termini di data di creazione – al 2000 e facenti uso dei domini mac.com e me.com, oltre ai pi recenti icloud.com.

ZDNet ha utilizzato la funzione di reset della password di iCloud con tutti e gli account a disposizione, operazione che ha permesso di verificare l’effettiva esistenza di tutti e 54 gli account. Successivamente sono stati contattate una per una tutte le potenziali vittime, usando iMessage o la mail usata per registrare l’account. A seguito di questa operazione solamente 10 persone hanno riconosciuto la propria password, che stata prontamente cambiata. Delle dieci persone che hanno confermato la validit della password, molti hanno ammesso di non averla mai aggiornata sin da quando hanno attivato il proprio account iCloud e la maggior parte di essi ha affermato di aver riutilizzato le stesse credenziali anche su altri siti. Sembra tuttavia che tre persone abbiano affermato che la password usata fosse specifica per iCloud, il che in qualche modo sembra non collimare con la posizione ufficiale di Apple citata poco sopra. Una delle potenziali vittime ha invece riconosciuto una password che per non in uso da almeno due anni, suggerendo suggerendo quindi che i dati nelle mani degli hacker traggano origine da una violazione avvenuta prima del 2015 e che si spinge fino a circa il 2011, anno del lancio del dominio icloud.com.

Le persone contattate sono proprietarie, in maniera eterogenea, di vari dispositivi Apple. Chi solo iPhone, chi solamente Mac e iPad ma non iPhone, il che elimina l’ipotesi che possa essere stata compromessa una singola linea di prodotti. Alcune delle persone contattate ha inoltre riscontrato un tentativo di reset del proprio account nei giorni passati, fatto che sembra confermare l’effettiva intenzione ultima del gruppo di hacker.

Nonostante quanto riscontrato da ZDNet non ancora possibile determinare quanto sia elevata la posta in gioco: esiste infatti la possibilit che la lista di 54 account sia stata accuratamente selezionata, o che essa faccia parte di un insieme molto pi piccolo di 300-600 milioni di account millantati. Anche le manovre del gruppo hacker sono piuttosto dubbie, con il pubblico annuncio del possesso di un cos elevato numero di account che sembra pi un tentativo di farsi pubblicit che effettivamente di riuscire ad estorcere denaro ad una delle pi grandi aziende del mondo.

Apple, per cercare di tranquillizzare gli utenti, ha affermato di essere all’opera per “monitorare attivamente la situazione e prevenire accessi non autorizzati agli account degli utenti, lavorando con le autorit per identificare i criminali coinvolti. Per proteggersi contro questo tipo di attacchi raccomandiamo di usare password robuste e di non riutilizzarle per altri servizi, oltre ad abilitare l’autenticazione a due fattori”.

Ora, in attesa di aggiornamenti e dato che la prudenza in queste situazioni non mai troppa, il consiglio per gli utenti iCloud che gi non applicano un attento approccio alla creazione e gestione delle proprie password, quello di cambiare la password iCloud a partire da questo indirizzo e di effettuare un bell’aggiornamento delle password degli altri servizi utilizzati, specie se si indulge un po’ troppo spesso nel riutilizzo delle credenziali.