iPad用户信息泄露 不作为还是炒作

正当iPad热销之际,6月9日,博客网站Gawker.com突然发布了一篇名为《苹果最糟糕的安全漏洞:11.4万名iPad所有者信息被泄露》的文章。随后,事件的关联方在网络上开始针锋相对地展开“自卫战”。而在这场自卫战中,AT&T成了众矢之的,而攻击漏洞的“黑客”却意外地得到了众多网友和舆论的支持。

“今天,我收到了AT&T的道歉信。”一位受害者无奈地叹了口气,“那时,一个念头立刻跳了出来——我要收到更多的垃圾邮件了。”这一天是 6月13日。在这一天,AT&T给所有iPad邮件地址泄露门事件的受害者发去了道歉信。

不过,这封道歉信似乎来得有点迟,而且看似是AT&T的无奈之举。

在道歉信发出的6天前,6月7日,AT&T在一个企业客户的通知下,对安全漏洞进行了审查,并于次日修补了这一漏洞。而所谓的修补,不过是停止了一项功能。

iPad内置了AT&T网络的SIM卡,每个SIM卡都带有一个身份验证号——ICC-ID。当把这一验证号发送至AT&T网站,并确认与真实的验证号匹配后,AT&T网站会返回在这一验证号所对应的邮件地址——这被AT&T称为“电子邮件的自动获取功能”。

一家名叫Goatse Security的网络安全组织发现了这一功能的漏洞,并由此获取了11.4万个iPad所有者的邮件地址。用Goatse Security的话说,漏洞是在“无意中”发现的。

在AT&T修复漏洞之前,Goatse Security中的一位成员在使用iPad时发现了这一问题。于是,他们编写了一段代码,用于自动生成一系列ICC-ID,并不断发送至 AT&T网站。当这些自动生成的ICC-ID与真实ICC-ID匹配时,AT&T网站会返回给Goatse Security相对应的邮件地址。

通过这一方式获得众多邮件地址后,Goatse Security并没有采取任何行动,他们在等待。直到6月8日,当他们发现AT&T取消了这一功能。于是,他们将这一漏洞信息披露给了 Gawker.com。

6月9日,Gawker.com将漏洞信息公之于众,并附带有 Goatse Security所盗取的邮件地址。这些地址的主人包括白宫办公厅主任拉姆·伊曼纽尔、ABC新闻主播黛安·索耶、纽约市长迈克尔·布隆伯格、著名电影制片人哈维·温斯坦和纽约时报公司CEO珍妮特·罗宾逊等知名人士。只不过,这些邮件地址的前半部分被遮盖住了。

信息一经披露,业界很快掀起了轩然大波。《纽约时报》甚至建议员工停止通过iPad登录网络,直到真正安全为止。而在11日,FBI(美国联盟调查局)也宣布介入调查。两天后,正如那位受害者所经历的——AT&T发来了道歉信。

这封道歉信将Goatse Security描述成邪恶的黑客,并将责任推给了Goatse Security。对于这封迟到的道歉信,Goatse Security的成员十分气愤。他们表示,要不是自己将信息公开,恐怕AT&T根本不会将这个漏洞信息通知消费者,更谈不上道歉了。

双方一场自卫式的口水战随即展开。

AT&T不诚实的道歉

“iPad邮件地址泄露门事件不是我们的错,而是一群被称为黑客的可恶的人攻击了我们的网站,并盗取了我们的用户邮件地址。”这并不是 AT&T道歉信中的内容,而是来自一位网友对AT&T道歉信的整体印象。虽然不能断定这一印象是否准确,但至少反映出这位网友对 AT&T行为极大地不满。

而这样差评AT&T的大有人在。许多评论都直指AT&T 的道歉信“不诚恳”。一位受害者在看到AT&T和Goatse Security双方发表的言论后,甚至认为应该有更多的媒体帮助传播Goatse Security的言论,以揭开AT&T的虚假面纱。

这里的虚假面纱指的是AT&T在道歉信中“不诚实”的言论。

在AT&T的道歉信中,它写道:“黑客花了很大的精力来编写了一段代码,以获得ICC-ID和用户的邮件地址。”不过真是如此吗?

Goatse Security立刻发表言论予以反击:“发现这个漏洞的成员仅花了一个小时的时间就获得了这11.4万个iPad所有者的邮件地址。”

而对于AT&T在道歉信中的另一个说法:这个漏洞只会泄露用户的邮件地址,不会有其他危害,Goatse Security也不认同。

Goatse Security的成员Auernheimer表示,更深层次的攻击是有可能发生的。他指出:“我最担心的是,有人拿到了邮件地址,再到RBN(俄罗斯商业网络地下市场)买到Safari(苹果公司的浏览器)的攻击代码,这样就能用来攻击美国政府官员和企业高层了。一些黑客组织安排了成百上千的人,全职地寻找各种漏洞。”

不仅如此,“黑客还能够通过ICC-ID获得更多的信息,比如iPad的归属地。”独立安全顾问Nick DePetrillo指出。

许多人将关注点落在了AT&T的错误、迟缓的行动以及不诚恳的道歉上。而Goatse Security扮演起了“为公众利益着想”的角色。整件事的背后难道真像Goatse Security所宣称的那样“没获得”任何利益吗?
Goatse Security意欲何为

Goatse Security的名字一下子传遍了大街小巷。

各种网站开始疯狂发布、转载这一事件的最新情况。CNET、CBS News等媒体争先恐后采访Goatse Security——一家拥有9位核心成员以及一些外包成员、没有基地的网络安全组织。这些报道里都是对这个组织业务及理念的介绍。“我以前从来没听说过这个名字,不过现在我很有兴趣去了解它。”一位网友表示。

虽然,Goatse Security在接受媒体采访时强调,揭露AT&T网络上的漏洞是为了激起企业、民众对安全的重视,纯粹是为了公众利益着想,但是有些业内人士不这么认为。

“你不应该单纯地认为,Goatse Security将漏洞信息交给Gawker.com不为任何私人利益。”一位分析师指出。这位分析师认为,Gawker.com和苹果的关系并不好,而 Goatse Security唯独将信息交给Gawker.com,这个网站又以“苹果最糟糕的安全漏洞:11.4万名iPad所有者信息被泄露”这样的标题报道了这个事件,背后一定有更深层次的利益牵扯。

“至少有一点,他们是为了宣传自己。”这位分析师称。

的确,从最终的结果来看,Goatse Security以较好的形象在公众面前“溜达”了一圈,以很低的成本将自己推到了公众的面前。