Un gruppo di hacker che si autodefinisce “Turkish Crime Family” sostiene di avere le credenziali di accesso per più di 750 milioni di account icloud.com, me.com e mac.com. Il gruppo ha minacciato di cancellare i dati dai dispositivi Apple collegati agli account iCloud se Apple non pagherà un riscatto di 700.000 dollari o “il valore di 1 milione di dollari in voucher iTunes” entro il 7 aprile.

Apple ha immediatamente risposto di non ci sono stati attacchi ai servizi della società e che gli hacker hanno ottenuto le credenziali di accesso attraverso terze parti. “Non ci sono state violazioni in nessuno dei sistemi di Apple, inclusi iCloud e Apple ID”, ha dichiarato un rappresentante di Apple in un comunicato inviato via email. “La presunta lista di indirizzi e-mail e password sembra essere stata ottenuta da servizi di terze parti precedentemente compromessi”.

Un gruppo che si autodefinisce Turkish Crime Family sostiene di avere le credenziali di accesso per più di 750 milioni di indirizzi e-mail icloud.com, me.com e mac.com, e il gruppo dice.

In un messaggio pubblicato ieri su Pastebin, il gruppo sostiene di essere in possesso di 750 milioni di credenziali di accesso a servizi Apple, di cui più di 250 milioni relativi ad account iCloud che non hanno attivato l’autenticazione a due fattori.

Stiamo attivamente monitorando la situazione per prevenire accessi non autorizzati agli account utente e stiamo lavorando con le forze dell’ordine per identificare i criminali”, ha spiegato il portavoce di Apple. “Per proteggersi contro questo tipo di attacchi, consigliamo agli utenti di utilizzare sempre password complesse, non utilizzare le stesse password per diversi siti e attivare l’autenticazione a due fattori”. Apple fornisce l’autenticazione a due fattori per iCloud, e gli account con l’opzione attivata sono protetti anche se la password è compromessa.

Il gruppo di hacker ha confermato non c’è stata alcuna violazione dei servizi di Apple, lasciando intendere che le credenziali in suo possesso sono state ottenute attraverso siti web compromessi di terze parti.

In una certa misura queste affermazioni sono credibili, perché molti utenti utilizzano le stesse password su più siti web e perché la maggior parte dei siti web chiedono agli utenti di accedere tramite i loro indirizzi e-mail. Tuttavia, i numeri insolitamente alti dichiarati dal gruppo sono difficile da credere. E’ anche difficile tenere il passo con le richieste del gruppo, che nel corso degli ultimi giorni ha rilasciato informazioni contraddittorie o incomplete, successivamente riviste o chiarite.

Il gruppo sostiene di essere partito con un database di oltre 500 milioni di credenziali, raccolte nel corso degli ultimi anni attraverso database rubati che i suoi membri hanno venduto sul mercato nero. Gli hacker affermano inoltre che, dal quando hanno reso pubblica la loro richiesta di riscatto pochi giorni fa, altri criminali si sono uniti al gruppo e hanno condiviso altre credenziali, arrivando a più di 750 milioni di account.

Il gruppo sostiene di utilizzare un milione di server proxy di alta qualità per verificare quante delle credenziali permette loro di accedere agli account iCloud non protetti. L’ultimo numero di account iCloud accessibili riportato dalla Turkish Crime Family è di 250 milioni: una cifra impressionante, che corrisponde a un account ogni tre verificati.

Un’altra considerazione che porta a mettere in dubbio le affermazioni degli hacker è che se 750 milioni di password di iCloud sono veramente il frutto di password riutilizzate su altri siti web, gli altri database devono contenere miliardi di account combinati, o la media di riutilizzo password deve essere insolitamente alta. La più grande violazione dei dati a oggi è quella riportata da Yahoo, che ha coinvolto 1 miliardo di account.

Secondo l’esperto di sicurezza Troy Hunt, creatore del sito HaveIBeenPwned.com, questa faccenda ha dell’incredibile. Hunt non conosce i dati effettivi che il Turkish Crime Family sostiene di avere, e di cui non ci sono molte prove, a parte un video di YouTube che mostra qualche decina di indirizzi e-mail e password in chiaro. Tuttavia ha una significativa esperienza nella convalida di violazioni di dati e ha smascherato molte affermazioni fasulle di hacker nel corso degli anni. “Nella migliore delle ipotesi gli hacker possono essere in possesso di credenziali riutilizzate”, ha commentato Hunt, “ma non sarei sorpreso se si trattasse di una bufala”.