Hao Kuo Chi, morador de Los Angeles, se declarou culpado de uma série de crimes relacionados à invasão de contas do Apple iCloud e, em seguida, à distribuição de arquivos de usuários. No total, o atacante conseguiu roubar mais de 620 mil fotos e 9000 vídeos de natureza privada.
Fonte da imagem: itglobal.com
Depois de entrar em um acordo pré-julgamento com a promotoria, Chi falou de pelo menos 306 vítimas. É possível que o criminoso esteja subestimando grosseiramente suas “realizações”, já que o FBI descobriu que 4.700 das 500 mil cartas enviadas para seus endereços do Gmail contêm informações de login do iCloud que foram enganadas pelo invasor.
O cibercriminoso selecionou suas vítimas com base em solicitações online de usuários interessados. Ele promoveu seus serviços de hacking em fóruns de hackers. Os clientes nomearam a conta iCloud que precisava ser hackeada, após a qual Chi usou os endereços do serviço de e-mail do Gmail, fingindo ser o suporte técnico da Apple.
Se a vítima acreditou no perpetrador e compartilhou com ele as informações necessárias para fazer login em sua conta, ele salvou os vídeos e fotos disponíveis no Dropbox e, em seguida, enviou um link para os materiais aos clientes.
De acordo com os autos, o autor do crime agiu tanto no interesse dos clientes como no seu próprio, guardando cópias do conteúdo roubado. Apesar de o invasor usar um serviço de e-mail seguro, suas ações eram primitivas e dependiam da disposição das vítimas em compartilhar os dados necessários para fazer login no iCloud, e o número de usuários ingênuos acabou sendo muito grande.
Descobriu-se que em 2108, uma das vítimas encontrou suas fotos em sites adultos. Inicialmente, as imagens eram armazenadas no iPhone e depois salvas no iCloud. Assim que a vítima reclamou para os órgãos de segurança pública, foi extremamente fácil encontrar o infrator – ele acessava as contas de outras pessoas diretamente de sua casa. Quando os agentes receberam o mandado de busca, já sabiam quase tudo sobre o esquema usado pelo criminoso, graças aos dados solicitados ao Dropbox, Google, Apple, Facebook e Charter Communications.
Em 5 de agosto, Chi foi considerado culpado de quatro acusações de acesso ilegal aos dados do usuário e conspiração criminosa com um grupo de indivíduos. Para cada episódio, ele pode pegar até 5 anos de prisão, mas é mais provável que o agressor saia com uma punição mais leve graças ao remorso e a um acordo com a investigação.