黑客利用AT&T漏洞 11.4万苹果iPad用户资料曝光

CNET科技资讯网6月10日国际报道 一群黑客利用AT&T网站一个漏洞入侵，取得约11.4万名iPad用户的e-mail资料，其中包括政府高官、金融、媒体、科技还有军方人员。

据Gawker报道，这一外泄事件影响所有在美国使用iPad 3G的订户。其中受影响的iPad名人用户包括白宫参谋长Rahm Emanuel、电视主播Diane Sawyer、纽约市长Michael Bloomberg、电影制片Harvey Weinstein，还有纽约时报CEO Janet Robinson。

这个黑客组织自称Goatse Security，其手法是通过发送包含iPad SIM卡序号的HTTP要求，使得AT&T网站误判而揭露了用户的e-mail。根据报道，这些序号（称为ICC-ID）是采用连续码产生，因此研究员可猜测出好几万笔号码，然后利用程序去跑资料。

AT&T发言人Mark Siegel证实这一外泄事件，并表示已经在周二紧急关闭这个提供e-mail的功能。

AT&T表示，他们是在周一接获客户告知才知道此事，AT&T还表示，ICC ID所能取得的也只有客户的e-mail，没有其他资料会外泄。

“我们会持续调查此事，并通知e-mail与ICC ID有受影响的客户。”AT&T发言人表示。

这一事件主要是出在AT&T网站，跟苹果iPad平板电脑本身无关。

安全专家表示，AT&T这次被利用的这个漏洞其实算很常见。“这是一种验证错误，不需使用者验证就可取得私人资料，”Veracode CTO Chris Wysopal表示。

安全人员表示，e-mail地址与SIM卡序号其实并不算是机密资料。“这不像你的身份证字号或信用卡号被入侵那么严重。”另一位安全专家Charlie Miller表示。

不过这听在政府高官或金融界人士耳里可能全然不是那么回事。

“显然AT&T使用ICC-ID当作某种验证机制，”Lookout移动安全厂商CTO Kevin Mahaffey表示。“重点在于后端是否还有其他系统也适用该组序号当作识别码？”

他表示，“业界目前的确有一股趋势是以机器的识别码来带出帐单或与帐号产生互动，这些序号还是跟信任度有关系。”

据报道，黑客组织Goatse Security已经将这组AT&T程序代码拿来跟外界分享，只是依照目前情况看来，黑客是想让AT&T难看的成分居多，而不是想借此搞一笔钱。

“这类资料在地下组织没什么价值，”白帽安全策略官员Bill Pennington表示，“我认为对方的用意是在于羞辱。”