2 pontos por GN⁺ 2023-12-20 | 1 comentários | Compartilhar no WhatsApp
  • Um MacBook recuperado após ter sido perdido ficou preso no Activation Lock e, mesmo com o recibo da Apple Store enviado, o desbloqueio foi negado pelo processo normal de suporte
  • Mesmo após chegar ao topo do Hacker News, a Apple não entrou em contato; a rota via tcook@apple.com, sugerida em um Discord de desenvolvedores de língua inglesa no Japão, acabou levando à solução real
  • Quatro dias úteis após o envio do e-mail, a equipe de assistentes executivos de Tim Cook no Japão respondeu e, após cerca de duas semanas de verificações, concluiu-se que o MacBook havia sido apagado em meados de agosto e marcado como perdido por uma nova conta do iCloud
  • A Apple aplicava uma política de não desbloquear dispositivos marcados como perdidos mesmo com comprovante de compra original, mas, após analisar documentos adicionais, concluiu que o autor era o proprietário e removeu o bloqueio
  • A Apple Security Research não considerou o caso um problema de segurança; o episódio expõe falhas no fluxo de configuração inicial, em que é fácil pular a configuração do Find My, e na política de desbloqueio

Desbloqueio escalado por e-mail a Tim Cook

  • O MacBook que havia sido perdido foi devolvido, mas o Activation Lock estava ativado, e a Apple se recusou a desbloqueá-lo mesmo após o envio do recibo da Apple Store
  • O texto relatando a experiência anterior chegou ao topo do Hacker News, mas não houve contato direto da Apple
  • Em um Discord de desenvolvedores de software de língua inglesa no Japão, um moderador informou que enviar um e-mail para tcook@apple.com já havia levado a equipe de assistentes executivos a escalar casos para alguém capaz de resolvê-los
  • O e-mail enviado depois de todas as vias normais terem sido tentadas continha os seguintes pontos
    • O MacBook havia sido devolvido após ter sido perdido, mas o Activation Lock estava ativado
    • O pedido de desbloqueio foi negado apesar do envio do recibo da Apple Store
    • O texto sobre essa experiência chegou ao topo do Hacker News, e o autor queria um bom desfecho para uma história frustrante
  • Quatro dias úteis depois, a equipe de assistentes executivos de Tim Cook no Japão respondeu, e as verificações continuaram por cerca de duas semanas por e-mail e telefone
  • O histórico confirmado foi o seguinte
    • O MacBook foi apagado em meados de agosto, depois que o autor o perdeu
    • Ele foi vinculado a uma conta do iCloud recém-criada
    • Uma conta cujo endereço de e-mail começava com p marcou esse MacBook como perdido
  • A Apple recusou o pedido anterior por causa de uma política segundo a qual dispositivos marcados como perdidos não são desbloqueados mesmo quando há comprovante da compra original
  • Com base nos documentos enviados, a equipe de assistentes executivos se convenceu de que o MacBook pertencia ao autor e, como resultado, o bloqueio foi removido
  • Não está claro se a repercussão no Hacker News foi decisiva, mas o autor afirma que não forneceu à equipe mais evidências do que já havia enviado no pedido anterior de remoção do Activation Lock

O que realmente aconteceu com o MacBook e as dúvidas restantes

  • Quando o bloqueio foi removido, o autor já havia comprado um MacBook substituto, então esse desbloqueio foi mais uma questão de princípio e esclarecimento dos fatos do que de uso prático
  • A Apple informou “como” o MacBook foi bloqueado, mas não explicou “por que” aquilo aconteceu
  • A sequência dos fatos apurada em trocas de e-mail com a pessoa que devolveu o MacBook foi a seguinte
    • Essa pessoa não apagou o MacBook diretamente
    • Ela o levou a uma loja e pediu o desbloqueio
    • A loja não conseguiu desbloqueá-lo, mas apagou o MacBook
    • Antes de entregá-lo à loja, as informações do perfil de login do autor apareciam; depois, não apareciam mais, segundo a pessoa
    • A loja cobrou dinheiro mesmo tendo falhado em desbloqueá-lo
    • Quando questionada sobre por que a loja cobrou, a pessoa parou de responder
  • O autor suspeita da possibilidade de a loja ter apagado o MacBook com um novo Apple ID e o marcado como perdido para extorquir dinheiro
    • É possível que a loja o tenha devolvido inicialmente como se estivesse “desbloqueado” e, mais tarde, o bloqueado novamente ao marcá-lo como perdido para exigir um pagamento adicional
    • Ou talvez tenha feito isso para que só ela pudesse remover o bloqueio e, assim, cobrar um valor maior
    • O fato de o endereço do iCloud começar com p pode ter ocorrido porque a loja viu o nome “Paul McMahon” na tela de login e criou um endereço de e-mail plausível
  • Na configuração inicial do MacBook, a Apple permite pular facilmente a configuração do Find My
  • Como as consequências de não configurar o Find My podem ser graves, a Apple precisa deixar esse risco mais claro no fluxo de configuração inicial ou reavaliar sua política de desbloqueio
  • O caso foi reportado à Apple Security Research, mas a Apple respondeu que “não conseguiu identificar um problema de segurança no relatório”

1 comentários

 
GN⁺ 2023-12-20
Opiniões no Hacker News
  • Certa vez, fui avisado pela polícia de que haviam recuperado um notebook que tinha sido roubado, mas fiquei muito decepcionado quando ele voltou como uma carcaça despedaçada dentro de um saco de evidências.
    Neste caso, é bom que o dispositivo tenha voltado a poder ser usado, mas, no fundo, vejo isso como um problema artificial imposto pela empresa de quem você comprou.
    Não ter a chave privada do seu próprio dispositivo significa, no fim das contas, que seu direito de uso depende da boa vontade de terceiros muito ricos e indiferentes; casos como este, com um desfecho positivo, parecem ser quase uma exceção.

    • Fico curioso para saber qual seria uma solução melhor mantendo o recurso antifurto.
      O valor de um iPhone ou Mac com Bloqueio de Ativação geralmente se resume a ser desmontado e vendido como peças em mercados estrangeiros e, se você der azar, ainda recebe mensagens de ameaça mandando remover o dispositivo do iCloud.
      Impedir que o ladrão instale um novo firmware e use como se fosse um aparelho novo é um ponto central de venda e, para alguns compradores, pode até justificar um preço mais alto.
      0: https://old.reddit.com/r/applehelp/comments/13yn1o0/phone_st...
      1: https://old.reddit.com/r/applehelp/comments/16fcd4c/recently...
    • A parte de “não ter a chave privada do seu próprio dispositivo” é um mal-entendido.
      Para começar, acho que possuir um computador Apple em si é impossível.
    • O post original elogia o Activation Lock, mas critica o fato de ser possível pular a configuração; você está transformando isso em uma alegação de que o Activation Lock em si é ruim.
      É só a crítica automática à Apple comum neste site; é cansativa, pouco significativa e desinteressante.
    • Isso não é um problema imposto pela empresa, é inteiramente um problema que o usuário causou a si mesmo.
      Em 2023, todo mundo sabe sobre telemetria remota, hardware impossível de reparar, relatórios de bugs e atendimento ao cliente no estilo “vai se ferrar”, e o fato de que você não é mais dono da sua própria máquina.
      Quem compra Apple — e, de forma mais ampla, Microsoft — compra sabendo que elas não vão lhe dar acesso ao seu próprio dispositivo, e também sabendo que existem opções open source melhores; então deve arcar com as consequências.
    • Agora, nem mesmo o hardware alguém consegue realmente possuir.
  • Quando o suporte ao cliente não consegue ou não quer resolver um problema do produto, compro em sites de venda de contatos o e-mail e o telefone do CEO e entro em contato diretamente.
    Recentemente, fiz isso para resolver um problema de recebimento de um acordo de ação coletiva contra o Google, e recebi o cheque por entrega expressa.
    No entanto, com o Cash App, o tiro saiu pela culatra: recebi a resposta de que “a conta foi encerrada porque você contatou um funcionário fora do sistema de suporte”.
    Agora fico imaginando quanto custaria o número de celular do Sundar Pichai. Tenho nome de usuário, senha e e-mail de recuperação, mas não consigo entrar na minha conta Google porque não tenho mais o número de telefone antigo.

    • No caso do Cash App, uma reclamação ao Consumer Financial Protection Bureau deve resolver isso rapidamente.
    • Se puder compartilhar, gostaria de ouvir a história do Cash App.
      Encerrar uma conta porque a pessoa tentou resolver um problema do próprio serviço parece um insulto.
    • Na Austrália, existe a ACCC para ajudar consumidores, e a legislação de consumo também é bastante forte.
      Por causa disso, algumas empresas evitam entrar na Austrália para não ter de lidar com o governo, mas, como os consumidores australianos gastam bastante, acabam tendo de se adequar às regras.
    • Comprar um número de telefone pessoal e usá-lo para fazer uma solicitação de suporte também pode ser visto como assédio.
    • Outra possibilidade é contatar o departamento de relações com investidores.
      Melhor ainda se você for acionista, mas isso não é estritamente necessário; a ética de usar caminhos não padrão quando o procedimento padrão não funciona cabe a cada um julgar.
      Essas caixas de entrada normalmente são lidas por gente competente e, no mínimo, encaminham o caso para a pessoa certa internamente para poder encerrar o ticket gerado.
      Patio11 também trata desse método e de contatar o departamento jurídico na seção “Where exactly should I address letters?” de https://www.kalzumeus.com/2017/09/09/identity-theft-credit-r...
      Se não encontrar o endereço, basta mandar uma carta para a sede com “ATTN LEGAL DEPARTMENT”; esse tipo de correspondência é aberto por gente cara.
      Anos atrás, enviei ao departamento de relações com investidores uma pergunta sobre o relatório anual de uma empresa de cerca de US$ 2 bilhões de valor de mercado da qual eu tinha ações, mas nem mesmo o e-mail de acompanhamento recebeu resposta; vendi metade das ações e, no fim, fiquei muito satisfeito com isso.
  • Há um motivo para eu não comprar mais MacBook para uso pessoal.
    Em 2019, gastei mais de 3 mil euros no MacBook de 15 polegadas topo de linha da época, o que no meu país europeu equivalia a mais de dois meses de salário médio.
    Duas semanas antes do fim da garantia de 1 ano, a barra de espaço quebrou e, por ser um problema de projeto, o centro de serviço local a substituiu em poucos dias pela garantia.
    Um ano depois, a bateria estava morrendo; fui a uma assistência autorizada e me disseram que, para trocar a bateria, seria preciso substituir todo o teclado e o trackpad, custando cerca de 750 euros.
    Uma loja de conserto de PCs disse que conseguiria fazer por algumas centenas de euros, então deixei lá, e funcionou bem; mas, três meses depois, o notebook desligou de repente.
    A Apple se recusou até mesmo a fazer um reparo pago porque eu tinha usado uma bateria não oficial, e o Mac virou um peso de papel.
    No fim, usar aquilo por 2,5 anos para fins pessoais custou 3.500 euros, mais caro que um carro usado barato.

    • Isso soa como se não fosse possível trocar a bateria de um notebook Apple fora da garantia por menos de 1 mil euros.
      Se isso for verdade, é tão inacreditável que deveria virar notícia de primeira página para que ninguém cometa o erro de comprar um notebook Apple de novo.
    • Um notebook Toshiba de 400 dólares que comprei em 2013 ainda está inteiro, e o modelo de 2015 também aguenta bem.
    • Por outro lado, também era possível comprar um AppleCare de 3 anos por 140 dólares.
  • A Apple devolveu os AirPods Max, mas parecia que tinham sido trocados por uma unidade recondicionada
    Depois de alguns dias sem usar, ouvi um som e fui olhar; apareceu no iPhone uma notificação dizendo que esses AirPods Max estavam vinculados a alguma conta do iCloud
    Achei desagradável que a Apple tivesse me dado fones de ouvido rastreáveis, então enviei um e-mail ao Tim explicando a situação
    No dia seguinte, a equipe de atendimento executivo da Apple ligou perguntando detalhes e disse que queria verificar se poderiam ser substituídos por fones novos, não recondicionados, e se eles eram de fato rastreáveis
    No dia seguinte veio a resposta para as duas coisas: não haveria troca por um produto novo, eles realmente podiam ser rastreados pela conta vinculada ao Buscar, e pediram desculpas

    • Para começo de conversa, trocar por um produto recondicionado não faz sentido
    • Eu não esperava esse desfecho
      É difícil acreditar que a resposta para o problema dos fones tenha sido simplesmente mandar aceitar a situação
  • É bom que a equipe executiva do Tim tenha resolvido o problema, mas, em uma visão mais ampla, isso parece indicar a necessidade de um mecanismo que vincule identidade real, identidade digital e dispositivos
    Em vez de comprovante de compra, a pessoa apresentaria uma identidade governamental vinculada à conta ou ao dispositivo e, se o processo de verificação de identidade fosse confiável, ela seria confirmada como a pessoa que vinculou aquela identidade ao dispositivo, recuperando o acesso ao dispositivo ou à conta
    Enviar e-mail ao Tim não é uma solução escalável
    Já enviei comentários à FTC sobre o vácuo regulatório na recuperação de contas, e identidade é um elemento tratado no trabalho de segurança da informação centrado em serviços financeiros

    • Vincular a identidade real a uma máquina é uma solução muito ruim para esse problema, e é uma ideia que surge por não entender corretamente o problema em si
      O ponto central é que o dispositivo é vendido sem que o comprador tenha a propriedade da chave privada usada para configurar o aparelho
      Se a chave não é minha, o dispositivo também não é meu
    • Vincular identidade real a identidade digital e dispositivos cria mais problemas do que resolve
    • Na Estônia existe um sistema um pouco parecido com isso: https://e-estonia.com/solutions/e-identity/id-card/
    • Eu jamais gostaria que minha identidade fosse vinculada a hardware
      Uma vez feito isso, a indústria começaria uma campanha para também conectar contas online
      Não confio nesse nível no governo nem na indústria
    • Para evitar essa situação, bastaria vincular identidade digital e propriedade do dispositivo, sem trazer a identidade real para a história
      O autor do texto original teve a oportunidade de criar esse vínculo, mas optou por não fazê-lo
      Gosto dos serviços da Apple, mas entendo o sentimento de não querer que o próprio computador continue se comunicando com uma grande empresa de tecnologia
      Dito isso, é difícil entender por que alguém que não quer que ele se comunique nem com a Apple acharia aceitável que ele se comunicasse com o governo
  • Toda empresa deveria ser capaz de atender clientes de pessoa para pessoa
    A atitude de “somos grandes demais para que clientes humanos conversem com humanos” está se normalizando, e essa é uma tendência que deveria ser revertida
    Aumentar a fonte de receita sem investir no suporte de que essa fonte de receita precisa é uma prática empresarial ruim

    • Ironicamente, um dos motivos para eu usar produtos Apple era a equipe de suporte humana disponível quando eu morava em Londres
      Problemas com Dell, HP e Lenovo exigiam enviar o aparelho e rezar, mas, com problemas da Apple, eu podia entrar na loja de Covent Garden e perguntar
      A experiência de suporte da Apple foi, em geral, muito boa; a única exceção foi um incidente em que pedi AppleCare e AppleCare+ incorretamente para uso profissional
    • Recentemente, depois de esperar 30 minutos em uma agência bancária local, o funcionário que me atendeu disse que a solução do problema deveria ser feita pela linha telefônica de atendimento
      Ele não podia, ou não queria, resolver pessoalmente
    • Pela minha experiência, na Apple é possível receber uma ligação de um atendente com bastante rapidez
      https://support.apple.com/contact
    • Moralmente, pode ser uma prática ruim, mas, do ponto de vista empresarial, gastar o mínimo possível com um “departamento de custos” também pode ser visto como algo bom
    • Fico curioso se ninguém nunca teve a experiência de uma pessoa inútil fazer perder mais tempo do que um chatbot
  • Ao ativar um MacBook pela primeira vez, a Apple facilita pular a configuração do Buscar, mas parece válida a sugestão de que, se as consequências de não fazer isso forem sérias, o fluxo de configuração deveria mudar
    É preciso alertar claramente sobre as consequências de pular essa etapa, ou então reavaliar a própria política de desbloqueio

    • Se fizer isso, a Apple será imediatamente acusada em público de assustar os usuários para obrigá-los a criar uma conta
      Aqui não existe uma posição que agrade a todos
    • Se não adicionar o dispositivo a uma conta do Buscar significa que outra pessoa pode adicioná-lo à própria conta e bloquear seu acesso ao aparelho, então o aviso deveria dizer exatamente isso
      Algo como: “Se você pular esta etapa, alguém poderá adicionar este dispositivo à própria conta do Buscar e bloquear seu acesso a ele. Se isso acontecer, a Apple não ajudará você em nenhuma circunstância. Para manter acesso a este item caro que você acabou de comprar, recomendamos adicionar este dispositivo à sua conta do Buscar”
    • Estou preso em um bloqueio de firmware em um MacBook de 2019 que virou um tijolo depois de uma atualização do sistema operacional
      Se o sistema operacional simplesmente inicializasse, a senha de firmware não seria necessária; ela só é necessária para apagar o aparelho. Eu não quero apagar, quero que ele inicialize
      Comprei em dinheiro na Grand Central, tenho também o e-mail “Welcome to your New Mac” da semana de lançamento, e ele ainda está no Buscar
      Só que não guardei o recibo em dinheiro e, antes de uma viagem internacional, defini uma senha de firmware que agora não lembro
      A Apple não desbloqueia, mesmo ele estando no Buscar e tendo sido meu do começo ao fim
      Ela também não aceita desbloquear, corrigir a atualização quebrada do sistema operacional e bloquear de novo
      Do meu ponto de vista, a Apple quebrou minha máquina e está me impedindo de consertá-la
      Portanto, o Buscar também não protege você contra a própria Apple
  • É uma história um pouco diferente, mas acho que dispositivos como o Activation Lock deveriam ter uma data de expiração de 2 a 3 anos
    Isso reduziria bastante o lixo eletrônico sem sentido de computadores perfeitamente bons sendo descartados só porque alguém não fez logout

    • Trabalhei no passado em uma concessionária de carros, e vi com meus próprios olhos mais de 10 iPads acabarem sendo descartados porque, com o tempo, ninguém mais conseguia fazer login
      Depois de mais ou menos um ano, cerca de um terço acabava assim
    • No ano passado, o dono de um bar me deu uma caixa de iPhones que tinham sido deixados lá; muitos estavam praticamente novos, mas, de cerca de 24 aparelhos, só um iPhone 7 pôde ser recuperado, e o resto virou lixo eletrônico
    • Se for um MacBook corporativo, essa preocupação não existe
    • Lixo eletrônico é um problema, mas transformar o aparelho em um tijolo é a única medida forte de dissuasão contra roubo
      Muitos criminosos aceitariam roubar um iPhone novo se pudessem revendê-lo três anos depois
  • Essa política serve para impedir que alguém venda um notebook, o novo comprador configure a conta do Find My Mac e então o vendedor o roube de volta e peça à Apple para torná-lo seu novamente

    • Qualquer política que a Apple crie não vai corresponder exatamente à definição real de propriedade legal
      Em muitas jurisdições, é possível comprar legalmente até bens roubados sob certas condições; há a questão do princípio de que o comprador deve se precaver, mas, se o bloqueio ocorrer depois da compra, em tese a Apple poderia ser obrigada a desbloquear o aparelho para o novo proprietário
      Além disso, há muitas outras transferências de propriedade muito menos suspeitas e, em um contexto em que a lei reconhece o mercado de usados, a Apple não está em posição de arbitrar tudo isso
    • Esse cenário soa só um pouquinho mais plausível do que hackear e explodir uma usina nuclear com um MacBook
      E, contra esse tipo de cenário, o MacBook também não tem nenhuma proteção
    • Não acho que vender e depois roubar de volta aconteça com frequência suficiente para justificar essa política
  • Acredito que minha carta para Tim Cook também surtiu efeito
    O macOS Big Sur quebrou o suporte a monitores externos de alta taxa de atualização em Macs Intel
    Era um problema com o recurso DSC do HDMI/DisplayPort, e quem usava 4K@144Hz sem problemas no Catalina, quatro anos antes, passou a conseguir usar apenas 60Hz depois do Big Sur
    O suporte e a engenharia da Apple pediram que eu instalasse o Catalina e mostrasse que 4K@144Hz realmente funcionava, coletaram um monte de dados de diagnóstico e depois responderam que “a solução poderia ser voltar para o Catalina”
    Enviei uma carta para Tim Cook com o número do caso e, surpreendentemente, isso foi corrigido no macOS Sonoma