Greg Frasca foi impedido de acessar sua contaApple desde outubro, e ele fará qualquer coisa para voltar.

Ele se ofereceu para voar da Flórida para a sede da Apple na Califórnia para provar sua identidade pessoalmente ou preencher um cheque de US$ 10 mil para recuperar a conta. Ele contém as únicas cópias de oito anos de fotos de suas filhas.

Isso tudo porque os ladrões que roubaram o iPhone 14 Pro dele, em um bar em Chicago, queriam zerar o dinheiro de sua conta bancária e impedi-lo de rastrear remotamente o telefone roubado.

Eles usaram seu código para alterar a senha do Apple ID do homem de 46 anos. Eles também ativaram uma configuração de segurança da Apple difícil de encontrar, conhecida como “chave de recuperação”. Ao fazer isso, eles colocaram um bloqueio impenetrável em sua conta.

Em fevereiro, o The Wall Street Journal informou que ladrões, muitas vezes dentro e ao redor de bares à noite, observam proprietários de iPhone digitando suas senhas e depois roubam os telefones dos alvos.

Com essa sequência curta de quatro ou seis dígitos, os criminosos podem alterar a senha da conta da Apple e acumular milhares de dólares em cobranças usando o Apple Pay e aplicativos financeiros.

Dezenas de vítimas contataram o TWSJ após a publicação da reportagem, confirmando crimes semelhantes em pelo menos nove cidades dos Estados Unidos, incluindo Nova York, Nova Orleans, Chicago e Boston.

Muitos conseguem recuperar seu dinheiro, mas aqueles que foram bloqueados em suas contas da Apple por ladrões usando a chave de recuperação enfrentam desafio maior: encontrar maneira através das complexas políticas e burocracia da Apple para recuperar suas fotos perdidas, contatos, notas, mensagens e outros arquivos.

O que é a chave de recuperação?

A Apple introduziu a chave de recuperação opcional em 2020 para proteger os usuários contra hackers online. Os usuários que ativam a chave de recuperação, um código exclusivo de 28 dígitos, devem fornecê-la quando quiserem redefinir a senha do Apple ID.

Ladrões de iPhone com sua senha podem ativar a chave de recuperação e bloqueá-lo. E se você já tiver a chave de recuperação habilitada, eles podem facilmente gerar uma nova, que também bloqueia você.

A política da Apple praticamente não dá aos usuários como voltar para suas contas sem essa chave de recuperação. Por enquanto, um iPhone roubado pode significar perdas pessoais devastadoras.

Simpatizamos com as pessoas que tiveram essa experiência e levamos todos os ataques a nossos usuários muito a sério, não importa quão raros sejam. Trabalhamos incansavelmente todos os dias para proteger as contas e os dados de nossos usuários e estamos sempre investigando proteções adicionais contra ameaças emergentes como esta.

Porta-voz da Apple

A chave que te bloqueia

Os usuários ativam a chave de recuperação nas configurações de segurança e a armazenam em local seguro. Se você perder ou esquecer sua senha do Apple ID, entre em contato com a Apple, que enviará um código de verificação para o número de telefone confiável da sua conta e solicitará o código da chave de recuperação.

Se os hackers controlarem seu número de telefone por meio de prática conhecida como troca de SIM, a chave de recuperação o protegerá, porque os hackers não seriam capazes de produzi-la. Perder a chave, como a Apple avisa em seu site, significa que “você pode ser bloqueado permanentemente em sua conta”.

Contanto que você possa acessar seu iPhone, você pode adicionar ou redefinir uma chave de recuperação sem nenhuma credencial extra. A Apple diz que esta é uma medida de conveniência. No entanto, também facilita o acesso dos ladrões.

Mais dor de cabeça

Depois que o iPhone 13 Pro de Cameron Devine foi roubado de um bar de Boston em agosto de 2022, o jovem de 24 anos disse que passou horas ao telefone com o suporte ao cliente da Apple tentando recuperar o acesso a mais de uma década de dados.

Cada representante disse a ele o mesmo: sem chave de recuperação, sem acesso. Devine disse que nunca tinha ouvido falar da chave, muito menos tinha configurado uma.

Recuperação de contas contra usuários

“A recuperação de contas é um grande desafio para a indústria”, disse Andrew Shikiar, diretor-executivo da FIDO Alliance, organização sem fins lucrativos que rege os padrões de segurança implementados pela Apple e outros.

O principal problema para as empresas de tecnologia é poder validar as identidades dos usuários quando eles esquecem uma senha, não conseguem acessar seus métodos de autenticação de dois fatores ou perdem seus dispositivos, disse ele.

Empresas, como a Uber, estão usando reconhecimento facial para combinar selfies com identidades do governo para verificação. “Nem todo mundo vai concordar em fazer varredura facial”, disse Shikiar.

O LinkedIn anunciou recentemente a verificação do local de trabalho e da identidade por meio de parceria com a Clear, empresa conhecida por acelerar a triagem baseada em biometria para viajantes aéreos.

O Instagram pede a alguns usuários que enviem selfies em vídeo para confirmar sua identidade. No Tinder, os usuários carregam uma carteira de motorista ou passaporte para verificar sua idade. Os bancos usam muitos sinais para proteger logins e transações de aplicativos.

Muitas vítimas ofereceram à Apple seus passaportes, carteiras de motorista e outras formas de identificação para provar a propriedade de suas contas. Em carta à Apple, Frasca se ofereceu para passar por um teste de DNA ou varredura de retina.

A Apple diz que não possui nenhum desses registros em arquivo, devido a questões de privacidade. Ele e muitos outros estão perplexos por não haver outra maneira de provar a titularidade de suas contas.

Métodos alternativos

Existem outros métodos menos comprometedores de privacidade nos quais a Apple ainda pode confiar no lugar de uma chave de recuperação.

Se alguém assumir sua conta do Google, o processo de redefinição de senha do buscador permite que você forneça um e-mail de recuperação, número de telefone ou senha da conta, e você pode usá-los para recuperar o acesso posteriormente, mesmo que um sequestrador os altere.

Passar pelo processo em rede ou local Wi-Fi familiar também pode ajudar a demonstrar que você é quem diz ser. Um porta-voz do Google recomendou a configuração de um número de telefone e endereço de e-mail de recuperação nas configurações da conta antes que ocorra algo.

Com informações de The Wall Street Journal