11.4萬名iPad用戶信息被泄露 涉及白宮官員

相關專題： 行業(yè)新聞  發(fā)布時間：2010-06-10

資訊導讀：

遭泄露的郵件地址，涉及美國軍方人員

網友惡搞：iPad改名叫“iLeak”吧

新浪科技訊 北京時間6月10日早間消息，據(jù)國外媒體今日報道，AT&T網站的一個安全漏洞導致3G版iPad用戶的信息被泄露。業(yè)內人士估計，這一安全漏洞有可能對美國所有3G版iPad用戶都造成影響。

泄露的信息主要為用戶的電子郵件帳戶，這將使這些iPad用戶面臨垃圾郵件和惡意軟件的騷擾。泄露的信息顯示，3G版iPad的早期用戶包括紐約時報公司CEO詹妮特·羅賓遜(Janet Robinson)、美國廣播公司女主播黛安·索耶(Diane Sawyer)、知名電影制片人哈維·韋恩斯坦(Harvey Weinstein)、紐約市長邁克爾·布隆伯格(Michael Bloomberg)，以及白宮辦公廳主任拉姆·伊曼紐爾(Rahm Emanuel)等。

根據(jù)網絡信息安全組織Goatse Security提供的數(shù)據(jù)，業(yè)內人士估計有11.4萬名iPad用戶的電子郵件帳戶被泄露。蘋果和AT&T目前尚未對此消息置評。除電子郵件帳戶外，泄露的信息中還包括AT&T網絡驗證用戶信息的所用的ICC-ID。ICC-ID意為集成電路卡標識符，用于確認特定用戶使用的SIM卡。

AT&T近期修復了這一漏洞，但受害者此前對此毫不知情。對于一款面市僅2個月、進網僅1個月的產品來說，這一消息令人不快。目前來看，這是由于AT&T方面的原因導致的。預計這將進一步影響蘋果和AT&T之間不穩(wěn)定的關系。

不過，盡管這一漏洞存在于AT&T的服務器中，但蘋果也有義務確保用戶的隱私信息不被泄露，因為用戶需要向蘋果提供電子郵件地址來激活iPad。由于美國市場3G版iPad的用戶只能使用AT&T的服務，因此這一問題顯得更重要。

由于3G版iPad正處于銷售周期中，因此這一信息泄露事件有可能對這款產品的銷售造成不利影響。用戶已經對AT&T的網絡感到不滿，曝出這一問題后，用戶在花費最多830美元購買3G版iPad時可能會三思而后行。

安全漏洞細節(jié)

曝光這一漏洞的是自稱為Goatse Security的網絡信息安全組織。該組織此前曾曝光了火狐瀏覽器和Safari瀏覽器中的安全漏洞。而由于對亞馬遜社區(qū)評級系統(tǒng)中漏洞的曝光，該組織吸引了媒體的關注。

Goatse Security通過AT&T網站的一段腳本獲得了這些數(shù)據(jù)，這一腳本對所有人都是公開的。當在HTTP請求中提供ICC-ID信息時，這段腳本將會返回相關聯(lián)的電子郵件地址。通過已知的3G版iPad的ICC-ID，信息安全研究人員能夠猜測出其他的ICC-ID。此前有一些科技愛好者將自己的ICC-ID發(fā)布到Flickr等網站上，或是與好友進行分享。

為了使AT&T的服務器響應，研究人員只需向服務器發(fā)送帶有iPad類型“User agent”消息頭的網絡請求即可。這樣的消息頭用于確認用戶使用的瀏覽器類型。

Goatse Security的研究人員編寫了一段PHP腳本，用于自動從服務器上獲取數(shù)據(jù)。Goatse Security的成員透露，在AT&T修復這一漏洞之前，該組織曾經與其他第三方分享這段腳本，因此目前尚不清楚何人獲取了這些信息。Goatse Security隨后向AT&T告知了這一漏洞，而AT&T修復了該漏洞。

數(shù)名3G版iPad用戶已經確認，Goatse Security提供的ICC-ID與用戶關聯(lián)的信息是準確的。

受害者包括多位知名人士

隨后，我們開始仔細了解這114,067名用戶的信息，并驚奇地發(fā)現(xiàn)其中有很多大名鼎鼎的人物。其中有很多設備的注冊郵件地址來自美國國防部高等計劃研究署(DARPA)以及其他一些隸屬于美國軍方的部門。其中最為知名的就是威廉姆·埃爾德雷奇(William Eldredge)，他美國空軍最大B-1轟炸機組的指揮官。

在媒體和娛樂行業(yè)，受影響的人包括紐約時報公司、道瓊斯、康德納仕、維亞康姆、時代華納、新聞集團、HBO和赫斯特等公司的高管。

在科技領域，包括來自谷歌、亞馬遜、微軟和AOL等公司的高管也在用戶名單之列。而高盛、摩根大通、花旗和摩根士丹利等大牌投資銀行以及一些風險投資公司和私募股權公司的員工也位列其中。

不少政府官員也出現(xiàn)在名單中，其中一個Gmail地址似乎屬于白宮辦公廳主任拉姆·伊曼紐爾(Rahm Emanuel)，還有一些則來自于美國參議院、眾議院、司法部、美國宇航局(NASA)、國土安全部、聯(lián)邦航空管理局(FAA)、聯(lián)邦通信委員會(FCC)和美國衛(wèi)生研究院等。還有一些美國聯(lián)邦法院系統(tǒng)的官員也位列其中。

毫無疑問，由于安全故障，這些知名用戶和其他一些普通用戶現(xiàn)在完全有理由擔心，AT&T有可能會將他們的更多iPad數(shù)據(jù)泄露給黑客。

AT&T至少泄露了大批有價值的電子郵件、VIP賬號等信息的緩存。在iPhone和iPad用戶眼中，AT&T的形象本來就非常差，而本次事件則會對其構成進一步傷害。但AT&T卻仍然通過與蘋果的協(xié)議獲取了大筆利潤。更大的問題在于，根據(jù)我們所獲得的信息，AT&T至今也沒有就這一故障通知用戶。而AT&T至少兩天前就已經了解到這一問題的存在。目前還不清楚AT&T是否已經將此事通知蘋果。

普通用戶的擔心

另外一個問題在于，這些ICC ID是否會給用戶帶來傷害。The Goatse Security擔心，最近在GSM手機標準中發(fā)現(xiàn)的漏洞表明，黑客有可能借此欺騙網絡中的設備，甚至有可能使用ICC ID攔截流量。其他兩名安全專家以及諾基亞元老級員工伊曼紐爾·伽代克斯(Emmanuel Gadaix)則表示，盡管前幾年發(fā)現(xiàn)了一些GSM的漏洞，但沒有一個與ICC ID有關，也沒有任何一種攻擊方法與ICC ID有關。

弗吉尼亞大學計算機科學博士卡爾斯頓·諾爾(Karsten Nohl)表示，盡管手機中的短信和語音信息的安全性比較弱，但數(shù)據(jù)連接通常都得到了很好的加密，ICC ID的泄露不會造成直接的安全問題。但這并不意味著AT&T可以就此逃脫譴責，他說：“用戶數(shù)據(jù)，尤其是電子郵件地址竟然會被一家大型通信公司意外泄露，這太可怕了?！?/p>

相信很多AT&T用戶也會同意這種看法。

《紐約時報》已經發(fā)郵件通知所有員工，建議他們關掉iPad的3G連接，直到收到進一步的通知。該公司的工程師和安全人員正在調查這一問題。

AT&T隨后也致信Gizmodo就此事進行道歉，并試圖消除影響。以下為AT&T郵件原文：

“周一有一名企業(yè)用戶通知AT&T，他們的iPad ICC ID有可能被泄露?？梢酝ㄟ^ICC ID獲得的信息只有與設備捆綁的電子郵件地址。

此事已經受到了公司的最高重視，并且已于周二糾正。我們也已經關閉了提供電子郵件地址的功能。

發(fā)現(xiàn)這一問題的個人或組織并未與AT&T取得聯(lián)系。

我們將繼續(xù)進行調查，并將通知所有電子郵件地址和ICC ID有可能被他人獲得的用戶。

我們非常看重用戶隱私，盡管已經修復了這一問題，但我們仍要向受此影響的用戶道歉。”

來源：新浪科技   編輯：admin  

本文標簽：

返回頂部

相關資訊

• 買虧了嗎?黃金周電視熱門機成交價曝光
• 震驚!百平米工廠日產電視500臺
• 聊天拿大獎 揭秘家電圈里的“潛規(guī)則”
• 市民注意 不合格小家電知名品牌上榜
• 騙局接連不斷 警惕山寨蘇泊爾電磁爐
• 電信詐騙現(xiàn)銀行收年費新變種
• 家電維修防騙指南 “李鬼”的三大馬甲
• 家電應用講解：無氟冰箱的使用竅門
• 生活常識：鮮牛奶禁忌放入冰箱冷凍
• 柜式空調沒插頭顧客要另外花錢配