窃取iPad用户电子邮件地址的此次攻击,在严格意义上甚至算不上一次攻击,安全专家今日表示。执行此次行动的Goatse Security团队仅仅是利用了糟糕的软件。昨日爆出的消息称,AT&T安全方面的泄露事件导致超过10万人的电子邮件地址泄露,其中包括一些最早使用该平板电脑的名人和有影响力的人物——如黛安·索耶、纽约市市长迈克尔·布隆伯格,甚至白宫办公厅主任拉姆·伊曼纽尔。
此次泄露事件暴露的具体信息包括用户的电子邮件地址,以及用于在AT&T网络上对用户进行身份验证的关联ID,称为ICC-ID。ICC-ID代表集成电路卡标识符,用于识别将移动设备与特定用户关联的SIM卡[Gawker]。
Praetorian Security Group获得了一份用于从AT&T服务器窃取电子邮件地址的脚本副本,他们表示,窃取这些电子邮件地址并不需要高超的攻击技巧,只需一次暴力破解攻击。
“没有黑客攻击,没有渗透,也没有什么突破,只是一款设计非常糟糕的Web应用程序,在收到ICC-ID时会返回电子邮件地址,”Praetorian在其安全博客上周三晚的更新中表示[Computer World]。
值得庆幸的是,对于那些受影响的iPad用户来说,被窃取的信息仅包括电子邮件地址,而非信用卡或社会安全号码。AT&T表示已经修复了该问题,并将通知所有电子邮件地址被窃取的用户。但有趣的是,Goatse的行为并未完全遵循白帽黑客的规则。
Goatse Security曝光这些信息的真正动机尚不明确。如果该团队遵循普遍接受的漏洞披露道德规范,他们应该直接联系AT&T通知其存在漏洞,并给予AT&T合理的时间来响应问题,然后再宣布发现。当然,道德的披露不会包括暴露受影响的数据。也许Goatse Security只是想让AT&T或苹果难堪[PC World]。
相关内容:Discoblog:《Discover》的iPad提早到了…而且太棒了
80beats:苹果的iPad平板电脑:它来了,它很酷,而且价格比预期略低
80beats:iPad到货:有人崇拜它,有人批评它,惠普试图扼杀它
80beats:报告:中国黑客窃取了印度导弹秘密和达赖喇嘛的电子邮件
图片:苹果
