Η.Π.Α.: Διέρρευσαν από την ΑΤ&Τ οι ηλεκτρονικές διευθύνσεις 114.000 χρηστών iPad

[nm96027]

Ομάδα από hackers εκμεταλλεύτηκαν κενό ασφάλειας στην ιστοσελίδα της AT&T και κατάφεραν να αποσπάσουν τις ηλεκτρονικές διευθύνσεις 114.000 χρηστών iPad, μεταξύ των οποίων συγκαταλέγονται ονόματα υψηλών αξιωματούχων της κυβέρνησης και στελεχών στην οικονομία, τα Μ.Μ.Ε., την τεχνολογία και το στρατό. Ενδεικτικά αναφέρεται το όνομα του Προσωπάρχη του Λευκού Οίκου Rahm Emanuel, του Δημάρχου της Νέας Υόρκης Michael Bloomberg, του κινηματογραφικού παραγωγού Harvey Weinstein και της Διευθύνουσας Συμβούλου των New York Times Janet Robinson. H διαρροή αφορά μόνο τις H.Π.Α. και ενδεχομένως να αφορά όλους τους χρήστες 3G της εταιρείας.

Η ομάδα Goatse Security κατάφερε να αποσπάσει τις διευθύνσεις στέλνοντας http αιτήσεις προς τoν server της ΑΤ&Τ οι οποίες αιτήσεις περιείχαν σειριακούς αριθμούς SIM. Στα πλαίσια της διαδικασίας ενεργοποίησης του iPad που έχουν υιοθετήσει η Apple και η AT&T, σύμφωνα με την οποία γίνεται αντιστοίχιση του ICC-ID (του σειριακού αριθμού της SIM) και του email του ιδιοκτήτη iPad, η ομάδα Goatse Security χρησιμοποίησε ένα php script για να υποβάλει στην ΑΤ&Τ ICC-ID αριθμούς και να λαμβάνει ηλεκτρονικές διευθύνσεις. Οι αριθμοί ICC-ID ήταν εύκολο να βρεθούν (ή να τους μαντέψουν καλύτερα) αφού είναι συνεχόμενοι ενώ σε κάποιες περιπτώσεις δεν ήταν λίγοι εκείνοι οι ενθουσιώδεις νέοι ιδιοκτήτες iPad οι οποίοι δημοσίευσαν τους αριθμούς τους στο διαδίκτυο. Προκειμένου να απαντήσει ο server στην http αίτηση, οι hackers έβαλαν στην επικεφαλίδα το αναγνωριστικό "user agent".

Η AT&T επιβεβαίωσε την ύπαρξη του κενού ασφάλειας και την διαρροή των email διευθύνσεων, δηλώνοντας πως η υπηρεσία έχει απενεργοποιηθεί μία μέρα μετά την ενημέρωση τους σχετικά με το γεγονός. Ωστόσο η AT&T δεν είχε προηγούμενη ενημέρωση από την ομάδα που εντόπισε το κενό ασφάλειας ούτε και εν τέλει το πληροφορήθηκε από αυτούς.

"Η AT&T πληροφορήθηκε το γεγονός της πιθανής διαρροής μέσω των ICC ID από πελάτη την Δευτέρα. H μοναδική πληροφορία που μπορεί να ανακτηθεί με αυτόν τον τρόπο είναι η ηλεκτρονική διεύθυνση και τίποτε άλλο", σημειώνει η AT&T.

"Mέχρι τώρα δεν υπάρχει κανένα στοιχείο που να δηλώνει πως έχουν διαρρεύσει και άλλες πληροφορίες σχετικά με τους πελάτες."

Οι εκπρόσωποι της ομάδας Goatse Security δεν θέλησαν να κάνουν κάποιο σχόλιο. Η ομάδα ασχολείται με την ασφάλεια στο διαδίκτυο και κυρίως αναζητά κενά ασφαλείας στο λογισμικό του διαδικτύου, των browsers συμπεριλαμβανομένων. Ούτε οι εκπρόσωποι της Apple θέλησαν να κάνουν κάποιο σχόλιο αν και όπως υπογραμμίζουν ειδικοί στην ασφάλεια, το πρόβλημα δεν αφορά την Apple αλλά είναι θέμα αποκλειστικά της AT&T. Oι ειδικοί τονίζουν επίσης πως ο τύπος του κενού ασφάλειας αυτός είναι ιδιαίτερα κοινός.

"Το να μην είναι αναγκαία η πιστοποίηση (authentication) για την αποστολή ιδιωτικών δεδομένων είναι ένα τυπικό λάθος πιστοποίησης", δηλώνει ο Chris Wysopal από την εταιρεία Veracode.

"Eίναι ένα λάθος που το εντοπίζουμε σε πάρα πολύ απλές εφαρμογές του διαδικτύου. Η Apple θα έπρεπε να απαιτεί από τους παρόχους να αποδεικνύουν την ασφάλεια των εφαρμογών τους όταν σε αυτές αποθηκεύονται κρίσιμα προσωπικά δεδομένα πελατών της Apple."

Άλλοι αναλυτές δηλώνουν πως ούτε ο σειριακός αριθμός της SIM ούτε η ηλεκτρονική διεύθυνση είναι κρίσιμα προσωπικά στοιχεία.

"Δεν νομίζω πως πρόκειται για κάτι σημαντικό", δήλωσε ο Charlie Miller από την εταιρεία Independent Security Evaluators.

"Δεν διέρρευσαν ούτε το ΑΦΜ ούτε ο αριθμός της πιστωτικής κάρτας των πελατών."

Ωστόσο όπως εύστοχα σχολιάζει το Cnet, δεν θα είναι τόσο εύκολο να καθησυχάσει κανείς τον Προσωπάρχη του Λευκού Οίκου, τους αξιωματούχους του υπουργείου Άμυνας, τα στελέχη του Ομοσπονδιακού Δικαστηρίου ή της Goldman Sachs. Oι ηλεκτρονικές τους διευθύνσεις είναι πλέον γνωστές σε όλους και έχουν γίνει ένας πολύ εύκολος στόχος για επιθέσεις phising.

"Τώρα πλέον όλοι γνωρίζουμε πως αυτοί οι άνθρωποι έχουν iPads, ξέρουμε τον σειριακό τους αριθμό και ξέρουμε και την ηλεκτρονική τους διεύθυνση", δηλώνει ο Bill Pennigton από την White Hat Security.

"Έτσι η θέση τους είναι πλέον επισφαλής."

Ο Pennigton συμπληρώνει πως με τις παραπάνω πληροφορίες μπορεί κάποιος να εκμεταλλευτεί άλλα κενά ασφάλειας στο site της AT&T και να αποκτήσει πρόσβαση σε άλλες πιο κρίσιμες πληροφορίες. Και επισημαίνει πως το κενό ασφάλειας μπορεί να αφορά όχι μόνο τους χρήστες iPad αλλά όλους τους πελάτες της ΑΤ&Τ. Τέλος ο Pennigton επισημαίνει πως το πιθανότερο κίνητρο των hackers ήταν να ντροπιάσουν την AT&T σε θέματα ασφάλειας και να τονίσουν το πρόβλημα παρά να κερδίσουν χρήματα.

Το θέμα ανέδειξε το site Gawker.


Πηγές: Computerworld και Cnet

[hadderakk]

ε, ρε class action που ερχεται....

[psyxakias]

Τρελή καφρίλα της AT&T, διότι το έκανε τρομερά εύκολο να μπορείς να πάρεις όλα τα e-mails στέλνοντας μαζικά http requests με ένα απλό loop, αλλά ΟΚ πάλι καλά που δεν έδινε και όλα τα στοιχεία. Παρόλα αυτά, άνετα μπορεί να χρησιμοποιηθεί για phising όπως αναφέρθηκε διότι γνωρίζοντας e-mails με ονοματεπώνυμα στη διεύθυνση μπορούν να στείλουν πολύ realistic e-mails.

Αντίστοιχη, αλλά σε πολύ πιο light κατάσταση, ήταν της Forthnet για αρκετό καιρό που όποιος γνώριζε το τηλέφωνό σου, μπορούσε να μάθει από το http://www.forthnet.gr/adslstatus/: α) αν έχεις Forthnet, β) πότε έκανες αίτηση, γ) αν απορρίφθηκε, δ) πότε ενεργοποιήθηκες (ακόμα και αν έγινε πριν μήνες/χρόνια!), κτλ. Και αντίστοιχα με της AT&T με ένα απλό script μπορούσες να τραβήξεις δεδομένα για όλους τους πελάτες, απλά ήθελε λίγο χρόνο.

Οπότε ανταγωνιστές ή επιτήδειοι, μπορούσαν να εξαπατήσουν άνετα (ότι δήθεν καλούν από Forthnet, κάνοντάς το αληθοφανές με μερικές πληροφορίες) ζητώντας πληροφορίες για πληρωμές (ειδικά με πιστωτικές). Ακόμα υπάρχει η σελίδα αλλά πέρα από το captcha (απλά το κάνει πιο δύσκολο), αφαίρεσαν τουλάχιστον παλιότερα δεδομένα οπότε μειώνει κάπως τις πιθανότητες να συμβεί κάτι τέτοιο.

Off Topic

Γενικότερα οι δικλείδες ασφαλείας σε κάποια θέματα είναι για τα πανηγύρια. Προχθές, χωρίς να είμαι επίσημα εξουσιοδοτημένος (άσχετα αν όντως το επιθυμούσε η εταιρεία), αναβάθμισα εταιρικές συνδέσεις σε ελληνικό ISP χωρίς να ξέρω τίποτε παραπάνω από επωνυμία εταιρείας και ΑΦΜ (που υπάρχει σε όλες τις σφραγίδες της εταιρείας). Δεν υπήρξε καν επιβεβαίωση (του στυλ να καλέσουν πίσω την εταιρεία) αφού ήμουν από το κινητό μου στο δρόμο. Αν δεν το επιθυμούσαν, απλά στο τέλος του μήνα θα λάμβαναν τιμολόγιο τριπλάσιου κόστους και λογικά θα ήταν εκτεθειμένος ο ISP αφού δεν έχει γραπτό το αίτημα της αναβάθμισης.

[petasis]

Καλά, αυτό 1.000.000 συσκευές δεν έχει πουλήσει; Οι υπόλοιποι δεν είχαν δίκτυο;

[Frontier]

Άλλη μια απόδειξη ότι η πολιτική ελέγχου περιεχομένου (και ιδιοκτησίας) που επιβάλλει η Apple στη χρήση των προϊόντων της (κοινώς: δεν ενεργοποίησες, δε μπορείς να χρησιμοποιήσεις αυτό που νόμιμα αγόρασες), είναι διάτρητη και ανεπίτρεπτη.

Το αστείο είναι ότι πέφτει τέτοια λογοκρισία (και πλύση εγκεφάλου) που δεν τρέχει τίποτα.
Αν π.χ το έκανε η Microsoft αυτό, θα είχαν κάψει το Redmond συνθέμελα.

Apple

[nm96027]

Καλά, αυτό 1.000.000 συσκευές δεν έχει πουλήσει; Οι υπόλοιποι δεν είχαν δίκτυο;

Έχουν πουληθεί δύο εκατομμύρια. Οι 114.000 (και κάτι ψιλά) αφορούν εκείνους που αγόρασαν από τις 30 Απριλίου το iPad 3G.

[mrsaccess]

Λίγο offtopic αλλά πέρσι το ίδιο έγινε και με το ΟΤΕ Conn-X και μπορεί να μην έβρισκες το email του συνδρομητή αλλά έβρισκες το όνομά του, τον τηλεφωνικό αριθμό του, το ΑΦΜ του, τη διεύθυνσή του και ίσως και άλλα στοιχεία. Ούτε μύτη δεν άνοιξε...

[ipo]

...
Παρόλα αυτά, άνετα μπορεί να χρησιμοποιηθεί για phising όπως αναφέρθηκε διότι γνωρίζοντας e-mails με ονοματεπώνυμα στη διεύθυνση μπορούν να στείλουν πολύ realistic e-mails.
...

Σωστά, γίνονται ευάλωτοι στόχοι για spear phishing.

Το θέμα είναι αν αυτή η λίστα δημοσιεύτηκε από τους hacker και αν υπήρξαν άλλες αντίστοιχες επιθέσεις εκτός των Goatse Security που να χρησιμοποιήσουν κακόβουλα την πληροφορία.

[konenas]

χαχαχα

Μόνο διευθύνσεις, χωρίς τηλέφωνα, αριθμούς πιστωτικής κλπ βρίσκουμε κάθε μέρα παντού.
Δεν χρειάζεται να κάνουμε τόση φασαρία για 1 εκ. ακόμη.

Πέφτει βροχή απ' το σύννεφο.
( Το σύννεφο έφερε βροχή κι έχουμε μείνει μοναχοί ... )