根據Gawker週三的報導,此一外洩事件影響所有在美國使用iPad 3G的訂戶。其中受影響的iPad名人用戶包括白宮幕僚長Rahm Emanuel、電視主播Diane Sawyer、紐約市長Michael Bloomberg、電影製片Harvey Weinstein,還有紐約時報執行長Janet Robinson。
這個駭客組織自稱Goatse Security,其手法是透過發送包含iPad SIM卡序號的HTTP要求,使得AT&T網站誤判而揭露了用戶的e-mail。根據報導,這些序號(稱為ICC-IDs)是採連續碼產生,因此研究員可猜測出好幾萬筆號碼,然後利用程式去跑資料。
AT&T發言人Mark Siegel證實此一外洩事件,並表示公司已經在週二緊急關閉這個提供e-mail的功能。
AT&T表示,他們是在週一接獲客戶告知才知道此事,該公司還表示,ICC IDs所能取得的也只有客戶的e-mail,沒有其他資料會外洩。
「我們會持續調查此事,並通知e-mail與ICC ID有受影響的客戶。」該公司發言人表示。
此一事件主要是出在AT&T網站,跟蘋果iPad平板本身無關。
資安專家表示,AT&T這次被利用的這個漏洞其實算很常見。「這是一種驗證錯誤,不需使用者驗證就可取得私人資料,」Veracode技術長Chris Wysopal表示。
資安人員表示,e-mail位址與SIM卡序號其實並不算是機密資料。「這不像你的身份證字號或信用卡號被入侵那麼嚴重。」另一位資安專家Charlie Miller表示。
不過這聽在政府高官或金融界人士耳裡可能全然不是那麼回事。
「顯然AT&T使用ICC-ID當作某種驗證機制,」Lookout行動資安廠商技術長 Kevin Mahaffey表示。「重點在於後端是否還有其他系統也適用該組序號當作辨識碼?」
他表示,「業界目前的確有一股趨勢是以機器的辨識碼來帶出帳單或與帳號產生互動,這些序號還是跟信任度有關係。」
根據報導,駭客組織Goatse Security已經將這組AT&T程式碼拿來跟外界分享,只是依照目前情況看來,駭客是想讓AT&T難看的成分居多,而不是想藉此搞一筆錢。
「這類資料在地下組織沒什麼價值,」白帽資安策略長 Bill Pennington表示,「我認為對方的用意是在於羞辱。」
新聞出處連結:http://www.zdnet.com.tw/news/comm/0,2000085675,20146009,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8
0 意見:
張貼留言