遭泄露的邮件地址,涉及美国军方人员
网友恶搞:iPad改名叫“iLeak”吧
新浪科技讯 北京时间6月10日早间消息,据国外媒体今日报道,AT&T网站的一个安全漏洞导致3G版iPad用户的信息被泄露。业内人士估计,这一安全漏洞有可能对美国所有3G版iPad用户都造成影响。
泄露的信息主要为用户的电子邮件帐户,这将使这些iPad用户面临垃圾邮件和恶意软件的骚扰。泄露的信息显示,3G版iPad的早期用户包括纽约时报公司CEO詹妮特·罗宾逊(Janet Robinson)、美国广播公司女主播黛安·索耶(Diane Sawyer)、知名电影制片人哈维·韦恩斯坦(Harvey Weinstein)、纽约市长迈克尔·布隆伯格(Michael Bloomberg),以及白宫办公厅主任拉姆·伊曼纽尔(Rahm Emanuel)等。
根据网络信息安全组织Goatse Security提供的数据,业内人士估计有11.4万名iPad用户的电子邮件帐户被泄露。苹果和AT&T目前尚未对此消息置评。除电子邮件帐户外,泄露的信息中还包括AT&T网络验证用户信息的所用的ICC-ID。ICC-ID意为集成电路卡标识符,用于确认特定用户使用的SIM卡。
AT&T近期修复了这一漏洞,但受害者此前对此毫不知情。对于一款面市仅2个月、进网仅1个月的产品来说,这一消息令人不快。目前来看,这是由于AT&T方面的原因导致的。预计这将进一步影响苹果和AT&T之间不稳定的关系。
不过,尽管这一漏洞存在于AT&T的服务器中,但苹果也有义务确保用户的隐私信息不被泄露,因为用户需要向苹果提供电子邮件地址来激活iPad。由于美国市场3G版iPad的用户只能使用AT&T的服务,因此这一问题显得更重要。
由于3G版iPad正处于销售周期中,因此这一信息泄露事件有可能对这款产品的销售造成不利影响。用户已经对AT&T的网络感到不满,曝出这一问题后,用户在花费最多830美元购买3G版iPad时可能会三思而后行。
安全漏洞细节
曝光这一漏洞的是自称为Goatse Security的网络信息安全组织。该组织此前曾曝光了火狐浏览器和Safari浏览器中的安全漏洞。而由于对亚马逊社区评级系统中漏洞的曝光,该组织吸引了媒体的关注。
Goatse Security通过AT&T网站的一段脚本获得了这些数据,这一脚本对所有人都是公开的。当在HTTP请求中提供ICC-ID信息时,这段脚本将会返回相关联的电子邮件地址。通过已知的3G版iPad的ICC-ID,信息安全研究人员能够猜测出其他的ICC-ID。此前有一些科技爱好者将自己的ICC-ID发布到Flickr等网站上,或是与好友进行分享。
为了使AT&T的服务器响应,研究人员只需向服务器发送带有iPad类型“User agent”消息头的网络请求即可。这样的消息头用于确认用户使用的浏览器类型。
Goatse Security的研究人员编写了一段PHP脚本,用于自动从服务器上获取数据。Goatse Security的成员透露,在AT&T修复这一漏洞之前,该组织曾经与其他第三方分享这段脚本,因此目前尚不清楚何人获取了这些信息。Goatse Security随后向AT&T告知了这一漏洞,而AT&T修复了该漏洞。
数名3G版iPad用户已经确认,Goatse Security提供的ICC-ID与用户关联的信息是准确的。
受害者包括多位知名人士
随后,我们开始仔细了解这114,067名用户的信息,并惊奇地发现其中有很多大名鼎鼎的人物。其中有很多设备的注册邮件地址来自美国国防部高等计划研究署(DARPA)以及其他一些隶属于美国军方的部门。其中最为知名的就是威廉姆·埃尔德雷奇(William Eldredge),他美国空军最大B-1轰炸机组的指挥官。
在媒体和娱乐行业,受影响的人包括纽约时报公司、道琼斯、康德纳仕、维亚康姆、时代华纳、新闻集团、HBO和赫斯特等公司的高管。
在科技领域,包括来自谷歌、亚马逊、微软和AOL等公司的高管也在用户名单之列。而高盛、摩根大通、花旗和摩根士丹利等大牌投资银行以及一些风险投资公司和私募股权公司的员工也位列其中。
不少政府官员也出现在名单中,其中一个Gmail地址似乎属于白宫办公厅主任拉姆·伊曼纽尔(Rahm Emanuel),还有一些则来自于美国参议院、众议院、司法部、美国宇航局(NASA)、国土安全部、联邦航空管理局(FAA)、联邦通信委员会(FCC)和美国卫生研究院等。还有一些美国联邦法院系统的官员也位列其中。
毫无疑问,由于安全故障,这些知名用户和其他一些普通用户现在完全有理由担心,AT&T有可能会将他们的更多iPad数据泄露给黑客。
AT&T至少泄露了大批有价值的电子邮件、VIP账号等信息的缓存。在iPhone和iPad用户眼中,AT&T的形象本来就非常差,而本次事件则会对其构成进一步伤害。但AT&T却仍然通过与苹果的协议获取了大笔利润。更大的问题在于,根据我们所获得的信息,AT&T至今也没有就这一故障通知用户。而AT&T至少两天前就已经了解到这一问题的存在。目前还不清楚AT&T是否已经将此事通知苹果。
普通用户的担心
另外一个问题在于,这些ICC ID是否会给用户带来伤害。The Goatse Security担心,最近在GSM手机标准中发现的漏洞表明,黑客有可能借此欺骗网络中的设备,甚至有可能使用ICC ID拦截流量。其他两名安全专家以及诺基亚元老级员工伊曼纽尔·伽代克斯(Emmanuel Gadaix)则表示,尽管前几年发现了一些GSM的漏洞,但没有一个与ICC ID有关,也没有任何一种攻击方法与ICC ID有关。
弗吉尼亚大学计算机科学博士卡尔斯顿·诺尔(Karsten Nohl)表示,尽管手机中的短信和语音信息的安全性比较弱,但数据连接通常都得到了很好的加密,ICC ID的泄露不会造成直接的安全问题。但这并不意味着AT&T可以就此逃脱谴责,他说:“用户数据,尤其是电子邮件地址竟然会被一家大型通信公司意外泄露,这太可怕了。”
相信很多AT&T用户也会同意这种看法。
《纽约时报》已经发邮件通知所有员工,建议他们关掉iPad的3G连接,直到收到进一步的通知。该公司的工程师和安全人员正在调查这一问题。
AT&T随后也致信Gizmodo就此事进行道歉,并试图消除影响。以下为AT&T邮件原文:
“周一有一名企业用户通知AT&T,他们的iPad ICC ID有可能被泄露。可以通过ICC ID获得的信息只有与设备捆绑的电子邮件地址。
此事已经受到了公司的最高重视,并且已于周二纠正。我们也已经关闭了提供电子邮件地址的功能。
发现这一问题的个人或组织并未与AT&T取得联系。
我们将继续进行调查,并将通知所有电子邮件地址和ICC ID有可能被他人获得的用户。
我们非常看重用户隐私,尽管已经修复了这一问题,但我们仍要向受此影响的用户道歉。”