|
||||
遭泄露的郵件地址,涉及美國軍方人員
網友惡搞:iPad改名叫『iLeak』吧
6月10日早間消息,AT&T網站的一個安全漏洞導致3G版iPad用戶的信息被泄露。業內人士估計,這一安全漏洞有可能對美國所有3G版iPad用戶都造成影響。
泄露的信息主要為用戶的電子郵件帳戶,這將使這些iPad用戶面臨垃圾郵件和惡意軟件的騷擾。泄露的信息顯示,3G版iPad的早期用戶包括紐約時報公司CEO詹妮特·羅賓遜(Janet Robinson)、美國廣播公司女主播黛安·索耶(Diane Sawyer)、知名電影制片人哈維·韋恩斯坦(Harvey Weinstein)、紐約市長邁克爾·布隆伯格(Michael Bloomberg),以及白宮辦公廳主任拉姆·伊曼紐爾(Rahm Emanuel)等。
根據網絡信息安全組織Goatse Security提供的數據,業內人士估計有11.4萬名iPad用戶的電子郵件帳戶被泄露。苹果和AT&T目前尚未對此消息置評。除電子郵件帳戶外,泄露的信息中還包括AT&T網絡驗證用戶信息的所用的ICC-ID。ICC-ID意為集成電路卡標識符,用於確認特定用戶使用的SIM卡。
AT&T近期修復了這一漏洞,但受害者此前對此毫不知情。對於一款面市僅2個月、進網僅1個月的產品來說,這一消息令人不快。目前來看,這是由於AT&T方面的原因導致的。預計這將進一步影響苹果和AT&T之間不穩定的關系。
不過,盡管這一漏洞存在於AT&T的服務器中,但苹果也有義務確保用戶的隱私信息不被泄露,因為用戶需要向苹果提供電子郵件地址來激活iPad。由於美國市場3G版iPad的用戶只能使用AT&T的服務,因此這一問題顯得更重要。
由於3G版iPad正處於銷售周期中,因此這一信息泄露事件有可能對這款產品的銷售造成不利影響。用戶已經對AT&T的網絡感到不滿,曝出這一問題後,用戶在花費最多830美元購買3G版iPad時可能會三思而後行。
安全漏洞細節
曝光這一漏洞的是自稱為Goatse Security的網絡信息安全組織。該組織此前曾曝光了火狐瀏覽器和Safari瀏覽器中的安全漏洞。而由於對亞馬遜社區評級系統中漏洞的曝光,該組織吸引了媒體的關注。
Goatse Security通過AT&T網站的一段腳本獲得了這些數據,這一腳本對所有人都是公開的。當在HTTP請求中提供ICC-ID信息時,這段腳本將會返回相關聯的電子郵件地址。通過已知的3G版iPad的ICC-ID,信息安全研究人員能夠猜測出其他的ICC-ID。此前有一些科技愛好者將自己的ICC-ID發布到Flickr等網站上,或是與好友進行分享。
為了使AT&T的服務器響應,研究人員只需向服務器發送帶有iPad類型『User agent』消息頭的網絡請求即可。這樣的消息頭用於確認用戶使用的瀏覽器類型。
Goatse Security的研究人員編寫了一段PHP腳本,用於自動從服務器上獲取數據。Goatse Security的成員透露,在AT&T修復這一漏洞之前,該組織曾經與其他第三方分享這段腳本,因此目前尚不清楚何人獲取了這些信息。Goatse Security隨後向AT&T告知了這一漏洞,而AT&T修復了該漏洞。
數名3G版iPad用戶已經確認,Goatse Security提供的ICC-ID與用戶關聯的信息是准確的。
受害者包括多位知名人士
隨後,我們開始仔細了解這114,067名用戶的信息,並驚奇地發現其中有很多大名鼎鼎的人物。其中有很多設備的注冊郵件地址來自美國國防部高等計劃研究署(DARPA)以及其他一些隸屬於美國軍方的部門。其中最為知名的就是威廉姆·埃爾德雷奇(William Eldredge),他美國空軍最大B-1轟炸機組的指揮官。
在媒體和娛樂行業,受影響的人包括紐約時報公司、道瓊斯、康德納仕、維亞康姆、時代華納、新聞集團、HBO和赫斯特等公司的高管。
在科技領域,包括來自谷歌、亞馬遜、微軟和AOL等公司的高管也在用戶名單之列。而高盛、摩根大通、花旗和摩根士丹利等大牌投資銀行以及一些風險投資公司和私募股權公司的員工也位列其中。
不少政府官員也出現在名單中,其中一個Gmail地址似乎屬於白宮辦公廳主任拉姆·伊曼紐爾(Rahm Emanuel),還有一些則來自於美國參議院、眾議院、司法部、美國宇航局(NASA)、國土安全部、聯邦航空管理局(FAA)、聯邦通信委員會(FCC)和美國衛生研究院等。還有一些美國聯邦法院系統的官員也位列其中。
毫無疑問,由於安全故障,這些知名用戶和其他一些普通用戶現在完全有理由擔心,AT&T有可能會將他們的更多iPad數據泄露給黑客。
AT&T至少泄露了大批有價值的電子郵件、VIP賬號等信息的緩存。在iPhone和iPad用戶眼中,AT&T的形象本來就非常差,而本次事件則會對其構成進一步傷害。但AT&T卻仍然通過與苹果的協議獲取了大筆利潤。更大的問題在於,根據我們所獲得的信息,AT&T至今也沒有就這一故障通知用戶。而AT&T至少兩天前就已經了解到這一問題的存在。目前還不清楚AT&T是否已經將此事通知苹果。
普通用戶的擔心
另外一個問題在於,這些ICC ID是否會給用戶帶來傷害。The Goatse Security擔心,最近在GSM手機標准中發現的漏洞表明,黑客有可能借此欺騙網絡中的設備,甚至有可能使用ICC ID攔截流量。其他兩名安全專家以及諾基亞元老級員工伊曼紐爾·伽代克斯(Emmanuel Gadaix)則表示,盡管前幾年發現了一些GSM的漏洞,但沒有一個與ICC ID有關,也沒有任何一種攻擊方法與ICC ID有關。
弗吉尼亞大學計算機科學博士卡爾斯頓·諾爾(Karsten Nohl)表示,盡管手機中的短信和語音信息的安全性比較弱,但數據連接通常都得到了很好的加密,ICC ID的泄露不會造成直接的安全問題。但這並不意味著AT&T可以就此逃脫譴責,他說:『用戶數據,尤其是電子郵件地址竟然會被一家大型通信公司意外泄露,這太可怕了。』
相信很多AT&T用戶也會同意這種看法。
《紐約時報》已經發郵件通知所有員工,建議他們關掉iPad的3G連接,直到收到進一步的通知。該公司的工程師和安全人員正在調查這一問題。
AT&T隨後也致信Gizmodo就此事進行道歉,並試圖消除影響。以下為AT&T郵件原文:
『周一有一名企業用戶通知AT&T,他們的iPad ICC ID有可能被泄露。可以通過ICC ID獲得的信息只有與設備捆綁的電子郵件地址。
此事已經受到了公司的最高重視,並且已於周二糾正。我們也已經關閉了提供電子郵件地址的功能。
發現這一問題的個人或組織並未與AT&T取得聯系。
我們將繼續進行調查,並將通知所有電子郵件地址和ICC ID有可能被他人獲得的用戶。
我們非常看重用戶隱私,盡管已經修復了這一問題,但我們仍要向受此影響的用戶道歉。』