一組黑客利用了AT&T網站的一個漏洞,成功獲取了11.4萬個iPad用戶的郵箱位址,看來已經購買iPad的用戶大多為政府、金融、媒體、科技公司以及軍事機構的高管們。
Gawker在周三披露了這件事,並且表示,此次洩露事件可能將會影響到全美國的iPad 3G用戶。一些著名的iPad用戶似乎難逃此次危機,比如白宮辦公廳主管Rahm Emanuel、Diane Sawyer,紐約市長Michael Bloomberg,電影製片人Harvey Weinstein以及紐約時報的CEO Janet Robinson。
報告表示,一個自稱Goatse Security的組織戲弄了AT&T的網站,他們透過HTTP請求發送了一個電子郵件位址,這時網站會返回一個包含iPad SIM卡序列號的訊息。這些序列號,我們叫它ICC-ID(積體電路卡識別器),是按照順序生成的,黑客可以批量的猜測它們前後的序列號,並且設計一個程式,來自動整理出AT&T網站上的序列號。
AT&T的發言人Mark Siegel向記者證實了該漏洞的存在,同時表示,該公司周二已經關閉了郵件位址發送的功能。一天之後,這個問題將不會再被黑客團隊利用。
他在聲明中表示,“AT&T公司獲悉,周一,商業客戶的iPad ICC-ID面臨著一些被洩露的潛在風險。我們得到的唯一訊息是能夠從ICC-ID中得到郵件位址。”
他表示,“我們將進一步的調查,並且通知所有的郵件位址和ICC-ID被洩露的用戶。在這一點上,沒有證據顯示,其他的用戶數據也遭到洩露。”Goatse Security的研究代表沒有對郵件位址的洩露事件發表任何評論。該機構專門查找系統、網站以及瀏覽器的漏洞。
蘋果公司的代表拒絕了記者的採訪要求,但是他們的安全專家表示,這個問題的責任完全在於AT&T網站,和蘋果沒有任何關係。
他們還表示,AT&T的網站同時還包含有很多潛在的安全漏洞。
Veracode的首席技術官Chris Wysopal表示,“這是一個嚴重的錯誤,不要求驗証就可以返回用戶的私人數據。對於網站應用程式而言,這個方面的要求是非常基礎的。”
專家表示,無論是電子郵件位址還是SIM卡序列號,都是非常敏感的訊息。
獨立安全評論員Charlie Miller表示,“對我而言,這不像是一個巨大的損失,這沒有社保安全號或者信用狀號丟失帶來的危害大。”
但是,從一般意義上來說,獲得了國防部長、聯邦法院或者高盛高層的郵箱位址,很可能可以發起有針對性的釣魚攻擊。
白帽首席戰略官Bill Pennington表示,“現下全世界都知道了,世界上有哪些人在用iPad,我們可以看到他們的公司名稱、SIM卡序列號以及郵箱位址,這會讓他們的安全保護更加的脆弱。”
Pennington還表示,還存在一個風險,也就是利用獲取的SIM卡序列號,來透過AT&T的網站獲取更多的用戶數據。“我相信,利用這個序列號,我們可以查到更多的個人數據,而不僅僅只是iPad用戶在公司中的數據。”
移動安全公司Lookout的首席技術官Kevin Mahaffey表示,“很顯然,AT&T將ICC-ID作為他們網站識別用戶的標誌。問題在於,在AT&T後台,這個ID和哪些數據會掛鉤?現下的趨勢是一個ID很可能會和一個用戶所有的數據發生聯繫。”
根據Gawker,Goatse Security分享了他們關於AT&T網站的一些看法,他們認為,黑客羞辱了對美元比對用戶安全更感興趣的AT&T。
Pennington說,“我不認為這些數據非常有價值,這次攻擊主要是為了羞辱AT&T,讓他們感到野狼狽。”