一组黑客利用了AT&T网站的一个漏洞,成功获取了11.4万个iPad用户的邮箱地址,看来已经购买iPad的用户大多为政府、金融、媒体、科技公司以及军事机构的高管们。
Gawker在周三披露了这件事,并且表示,此次泄露事件可能将会影响到全美国的iPad 3G用户。一些着名的iPad用户似乎难逃此次危机,比如白宫办公厅主管Rahm Emanuel、Diane Sawyer,纽约市长Michael Bloomberg,电影制片人Harvey Weinstein以及纽约时报的CEO Janet Robinson。
报告表示,一个自称Goatse Security的组织戏弄了AT&T的网站,他们通过HTTP请求发送了一个电子邮件地址,这时网站会返回一个包含iPad SIM卡序列号的信息。这些序列号,我们叫它ICC-ID(集成电路卡识别器),是按照顺序生成的,黑客可以批量的猜测它们前后的序列号,并且设计一个程序,来自动整理出AT&T网站上的序列号。
AT&T的发言人Mark Siegel向记者证实了该漏洞的存在,同时表示,该公司周二已经关闭了邮件地址发送的功能。一天之后,这个问题将不会再被黑客团队利用。
他在声明中表示,“AT&T公司获悉,周一,商业客户的iPad ICC-ID面临着一些被泄露的潜在风险。我们得到的唯一信息是能够从ICC-ID中得到邮件地址。”
他表示,“我们将进一步的调查,并且通知所有的邮件地址和ICC-ID被泄露的用户。在这一点上,没有证据显示,其他的用户数据也遭到泄露。”Goatse Security的研究代表没有对邮件地址的泄露事件发表任何评论。该机构专门查找系统、网站以及浏览器的漏洞。
苹果公司的代表拒绝了记者的采访要求,但是他们的安全专家表示,这个问题的责任完全在于AT&T网站,和苹果没有任何关系。 他们还表示,AT&T的网站同时还包含有很多潜在的安全漏洞。
Veracode的首席技术官Chris Wysopal表示,“这是一个严重的错误,不要求验证就可以返回用户的私人数据。对于网站应用程序而言,这个方面的要求是非常基础的。”
专家表示,无论是电子邮件地址还是SIM卡序列号,都是非常敏感的信息。
独立安全评论员Charlie Miller表示,“对我而言,这不像是一个巨大的损失,这没有社保安全号或者信用卡号丢失带来的危害大。”
但是,从一般意义上来说,获得了国防部长、联邦法院或者高盛高层的邮箱地址,很可能可以发起有针对性的钓鱼攻击。
白帽首席战略官Bill Pennington表示,“现在全世界都知道了,世界上有哪些人在用iPad,我们可以看到他们的公司名称、SIM卡序列号以及邮箱地址,这会让他们的安全保护更加的脆弱。”
Pennington还表示,还存在一个风险,也就是利用获取的SIM卡序列号,来通过AT&T的网站获取更多的用户数据。“我相信,利用这个序列号,我们可以查到更多的个人数据,而不仅仅只是iPad用户在公司中的数据。”
移动安全公司Lookout的首席技术官Kevin Mahaffey表示,“很显然,AT&T将ICC-ID作为他们网站识别用户的标志。问题在于,在AT&T后台,这个ID和哪些数据会挂钩?现在的趋势是一个ID很可能会和一个用户所有的数据发生联系。”
根据Gawker,Goatse Security分享了他们关于AT&T网站的一些看法,他们认为,黑客羞辱了对美元比对用户安全更感兴趣的AT&T。
Pennington说,“我不认为这些数据非常有价值,这次攻击主要是为了羞辱AT&T,让他们感到狼狈。”