“Após mais de 40 horas de investigação, descobrimos que as contas de algumas celebridades foram violadas por ataques muito concretos aos nomes de utilizador, palavras-passe e perguntas de segurança, uma prática que se tornou muito comum na Internet”, diz um comunicado publicado na terça-feira à noite.

“Após mais de 40 horas de investigação, descobrimos que as contas de algumas celebridades foram violadas por ataques muito concretos aos nomes de utilizador, palavras-passe e perguntas de segurança, uma prática que se tornou muito comum na Internet”, diz um comunicado publicado na terça-feira à noite.

Na mesma pequena declaração, a Apple desmente que tenha havido qualquer falha da sua parte. “Nenhum dos casos que investigámos resultou de falhas em algum dos nossos sistemas, incluindo o iCloud [aplicação de armazenamento em nuvem] ou o Find My iPhone [uma aplicação para detectar um telefone perdido ou roubado]”, acrescenta a empresa norte-americana, referindo que continuará a trabalhar com as autoridades para identificar os responsáveis pelo ataque – o FBI já confirmou que está a investigar o caso, em que dezenas de fotos íntimas de celebridades (incluindo nus) foram publicadas na Internet.

Assim que foi conhecido este ataque – que levou à divulgação pública de fotos íntimas de celebridades como a actriz Jennifer Lawrence e a cantora Rihanna – vários sites especializados apontaram que teria sido uma falha no serviço Find My iPhone a abrir a porta aos piratas informáticos.

Através dessa falha teriam sido feitas várias tentativas para entrar nas contas das vítimas até se conseguir chegar à palavra-passe correcta. A maioria dos serviços online bloqueia o acesso a uma conta quando são feitas tentativas de acesso incorrecto, impedindo ataques por “brute force” (força bruta).

Apesar de negar qualquer falha nos seus serviços, a Apple não responde concretamente à suspeita de que os piratas puderam fazer inúmeras tentativas até conseguirem entrar nas contas.

A fechar o curto comunicado, a Apple deixa dois conselhos para evitar este tipo de ataques: criar uma palavra-passe forte e activar a confirmação em dois passos, o que significa usar, além da password, um código, à semelhança do que acontece, por exemplo, com vários sites dos bancos, em que o utilizador recebe um código por telemóvel para validar uma determinada operação.