多亏了AT&T安全的漏洞,一群名为山羊安全的黑客安全性(标语:“暴露了孔洞。”如果您不明白,请不要调查。出于您自己的缘故)抓住电子邮件地址超过114,000个iPad 3G用户。该清单包括美国政府和军事的杰出成员,以及著名的记者和商业领袖。
这些黑客引起了很多愤怒,即使实际上这是一个相当小的问题 - 唯一获得的数据是这些电子邮件地址,而这些电子邮件地址没有直接获得访问用户系统的直接手段。但这仍然是一种安全漏洞,AT&T是被迫解释。毫不奇怪,AT&T将责任归咎于山羊安全。
6月7日,我们了解到,未经授权的计算机“黑客”恶意利用了一种旨在通过预先操作的AT&T身份验证页面,其中旨在使您的iPad登录过程更快,并使用用于注册iPad的3G服务的电子邮件地址。自描述的黑客编写了软件代码来随机生成数字,以模仿iPad的AT&T SIM卡的序列号 - 称为集成电路卡标识(ICC-ID),并反复查询AT&T Web地址。当黑客生成的数字与实际的ICC-ID匹配时,身份验证页面登录屏幕被返回到黑客,其中与已经在登录屏幕上填充的ICC-ID关联的电子邮件地址。
黑客故意通过随机程序进行了巨大的努力,以提取可能的ICC-ID并捕获客户电子邮件地址。然后,他们汇总了这些电子邮件的列表,并为其宣传进行了分发。
其中一些说法是真实的 - 实际上,山羊安全性是一组松散的黑客组,其中描述的方法相当准确 - 但这意味着有点可疑。AT&T拒绝为离开客户信息如此轻松地提供道歉,他们威胁要起诉(沿着
与联邦调查局一起)黑客山羊安全性。
那部分有一点iffy。首先,在原始的Gawker暴露中,山羊安全声称已经与AT&T联系了有关安全孔。AT&T说事实并非如此CNET采访山羊队的一名成员说,该团队只是确定该洞是在向Gawker提供故事之前关闭的 - 他们似乎并没有做出太多努力与AT&T联系。但是,该访谈也很清楚地表明,该小组没有为自己的宣传来“分发(电子邮件地址列表)”,并竭尽全力直到网络不再脆弱之前才公开揭示该缺陷。
正如一群黑客所期望的那样,山羊的方法和专业精神是模糊的,并且在这里可能不会违反法律。但是AT&T忽略了这一“黑客”利用自己的巨大安全漏洞。这封信并不为此搞砸道歉,而是将责任归咎于举报人。
本文的作者丹·诺索维茨(Dan Nosowitz)可以紧随其后在Twitter上,与通过电子邮件并在旧金山跟踪(没有链接,您必须自己做腿部工作)。