12:41
10/6/2010

W sieci rozpisują się o tym, jaka to straszna rzecz się stała. E-maile użytkowników iPada zostały “wykradzione”. Co ciekawe, strach i pożogę sieją nie tylko media nietechniczne, ale i serwisy, które o bezpieczeństwie powinny mieć odrobinę pojęcia… Poniżej wyjaśniamy, dlaczego ta sprawa jest według nas mocno rozdmuchana.

Po pierwsze to nie Apple należy winić za “wyciek”, a AT&T, czyli operatora, do którego sieci zabawki Apple były podpięte (no ale Apple Hacked w tytule brzmi lepiej, nie? :>)

Co dokładnie się stało?

Ekipa z 4chana o malowniczej nazwie Goatse Security znalazła błąd w skrypcie na stronach internetowych AT&T. Błąd pozwalał uzyskać dostęp do adresu e-mail użytego podczas rejestracji iPada a skojarzonego w bazie AT&T z identyfikatorem ICC-ID (jeden z numerów przypisanych do karty SIM).

Enumerując po kolei wszystkie numery ICC-ID, można było poznać skojarzone z nimi adresy e-mail 114 000 osób zarejestrowanych w sieci AT&T posiadaczy iPada. Wymaga wielkich hacking skills, nie? :>

Mało obiektywny wybór wyciekniętych adresów e-mail, na jednej ze stron opisującej atak

Błędy kontroli dostępu do funkcji to niestety niechlubny standard w webaplikacjach — ostatnio w tym temacie pisaliśmy o problemach Wykopu. Programiści z AT&T chyba powinni się wybrać na nasze szkolenie ;)

iLeak: wiele hałasu o nic…

Podsumujmy więc, jedyne co wyciekło to tylko adresy e-mail (często w formie lola84@gmail.com), w większości i tak upublicznione gdzieś w sieci. Rozumiem, że dla paranoików (i kryptofanów Apple) to trauma, ale naprawdę, większość użytkowników ma głęboko w poważaniu, kto zna ich adres e-mail i czy wie, że korzystają z iPada (por. Waldemar Pawlak i jego iPad).

Jedyne co grozi tym, których adresy e-mail zostały upublicznione, to może odrobina więcej spamu (której dzięki filtrom antyspamowym na szczęście i tak nie odczują).

Na ataku zyskają więc jedynie:

  • marketerzy, którzy otrzymali wiedzę “tych 114,000 osób interesuje się gadżetami IT”, wyślijmy im więc ofertę firmy X!
  • konkurencja Apple, która teraz będzie naginała fakty (tak jak robią to obrażeni na Apple blogerzy z Gawkera), żeby przestraszyć potencjalnych klientów iPada i zachęcić ich do kupna alternatywnych rozwiązań.

W skrócie, afera nadmuchana, ale że dotyczy Apple i przeboju ostatnich tygodni [baczność] iPada [/baczność] , to pewnie zyska sporo media exposure. Takie wycieki jak ten zdarzają się codziennie i na ich podstawie można zdobyć ciekawsze dane niż te z AT&T…

Jedyne na co można w tej sprawie narzekać, to fakt, że AT&T nie poinformowało od razu o wycieku swoich klientów i pozwoliło się penetrować chłopakom z 4chanu przez dłuuugie godziny (aż dziw, że nie zauważyli piku w ruchu, chyba pan od przeglądania logów przysnął).

Aktualizacja 11.06.2010
Goatse Security udostępniło kod skryptu wykorzystanego w ataku.

Przeczytaj także:



18 komentarzy

Dodaj komentarz
  1. Jednej rzeczy do końca nie rozumiem: czemu wyciekły tylko maile posiadaczy ipada, a nie na przykład ericsonów?

  2. @makakaa: ponieważ błąd leżał w formatce logowania do serwisu dedykowanego iPadom. To nie był atak na serwery AT&T, ale na skrypt obsługujący posiadaczy iPada

  3. Nie wiem czemu, ale mam wrażenie, że gdyby wyciek maili był z innej firmy, to Piotr by pisał coś w stylu “rażące niedopatrzenia, jak można było ujawnić setki tysięcy e-maili klientów?”, a tak to tylko jest “nic się w sumie nie stało”. ;)

  4. Z innej firmy niż AT&T? A czemu niby miałbym tak “kochać” AT&T, żeby ich nie pstryknąć w ucho? Hasła, adresy mieszkań, SSN, numery kart… to są ciekawe dane, e-maile naprawdę do ciekawych danych nie należą, jesli jedyna informacja jaka z nimi jest związana, to “właściciel ma iPada”. Spójrz nawet na podlinkowany post o firmie “Zjem-mięso” — tam mając e-mail mogłeś wyciąć konkurencję startującą do Twojego stanowiska — chyba lepszy impact, nie? :)

  5. @Piotr troche wiecej spamu moze oznaczac dla niektorych koniecznosc mocniejszego filtrowania, co oznacza np. mniej zlecen, bo trafiajacych do folderu spam.
    Jak mam w domenie swoje nazwisko, to co mam zrobic aby uniknac zmudnego procesu przegladania spamu w poszukiwaniu waznych maili?

    Zmienic imie? Czy moze nazwisko?
    W sumie nie musialbym chronic swojego maila przed spamerami, tylko raz na pol roku do urzadu i profilaktycznie zmienic imie i nazwisko. :)
    Uzasadnienie zmiany: dostaje zbyt duzo spamu :)

    P.S.
    Na szczescie od kilku lat do roznych rejestracji stosuje unikalne adresy email.
    Najzabawniej jest jak na adres uzyty tylko do kupna publikacji “uczacej hackingu” zaczal przychodzic spam :)
    Wlasciciel bazy twierdzi ze nikt I’m adresow klientow nie ukradl :)

  6. Gdyby jeszcze hasła do tych maili wyciekły, to ja rozumiem, ale tak…
    Sezon ogórkowy się zaczął chyba ;)

  7. No i tu w 100% zgadzam się z Niebezpiecznikiem – taki wyciek (maili) to żaden wyciek. Tym bardziej, że nawet imię/nazwisko nie wyciekło (no chyba, że było w mailu).

    I również dobry punkt, że winić tu Apple to bezsensowne w 100%. Wina w całości jest po stronie AT&T.

    No ale fakt – jakież to medialne powiedzieć, że z Apple wyciekły dane 114.000 Klientów :)

  8. @Anonymous: Do rejestrowania się na różnych dziwnych forach najlepszy jest mailinator;)

  9. @makak
    Jasne :) szczególnie jak mozesz dostać tam coś ważnego “Messages are deleted after a few hours.” :)

    Kup teraz cokolwiek, to aby mieć dłuższą gwarancje którą obiecują na pudełku, trzeba się zarejestrować na www (i podać min. maila). Ostatnio z nieinformatycznych rzeczy, to musiałem tak zarejstrować mikrofon :)
    Aby móc ściągnąć dokumentację zarejestruj się. Aby … zarejestruj swój email itd.
    IMHO jednorazowe maile nie rozwiązują problemu. Można zgubić ważną informację :(

    Ja na szczęście od kilku lat mam taki własny mailinator i TemporaryInbox
    Jest połączeniem kilku znanych programików :
    min. postfixa, vima, procmaila i rcsa

    Założenie – za każdym razem podaję inny adres email.

    Vim’a uzywam do wpisywania gdzie podawałem email do bazy zwanej plik tekstowy :)
    procmail jak przychodzi coś więcej niż powinno, aby nie przeszkadzało.
    postfix do wycięcięcia tych adresów co zostały zaspamowane.
    RCS’a daje kontrolę wersji (z datami itd.) (to naprawdę tylko 3 proste komendy )

    Zalety:
    – nic z ważnych maili mnie nie ominie
    – wspaniale widać kto sprzedaja dalej adresy email (lub mu je ukradli).
    – pełna kontrola przez mnie nad moją pocztą

    Przy okazji, można mieć własne maile przy tyłku :)
    Frontend stoi w zew. serwerowni – to co przejdzie przez sito trafia do backendu na słabej DSL’ce – dzieki temu jak otrzymam powiadomienie SMS’em o nowym mailu, to bez względu na wielkość mam go w kilka sekund w moim programie pocztowym :)
    Jak wysyłam cos dużego, (np. kilkadziesiąt MB), to w parę sekund jest na backendzie i później się wolno uploaduje do frontendu, który rozsyła w świat – ale mnie to już nie boli :)
    Bardzo fajna sprawa, jak trzeba coś dużego szybko wysłać i od razu wyjść :)

    Ja sobie poradzę :) Ale znam trochę osób co zainwestowało we własną domenę (z nazwiskiem jako integralną częścią) i używa tylko jednego słusznego adresu typu imię@nazwisko.cośtam i jak im ktoś zafunduje wpis do bazy spamerów to dla nich to będzie tragedia.

  10. sądzę że @makak-owi chodziło o rzeczy typu “oo znalazłem rozwiązanie na forum, trzeba ściągnąć skrypt ale wymaga rejestracji” albo “hej dostaniesz coś gratis jak się zapiszesz na naszą maillistę”, nie nic “poważnego” jak wspomniana rejestracja w celu uzystania gwarancji/supportu.

    Dla tych którzy nie mają czasu/chcenia/infrastruktury na stawianie włąsnego mailera jest zawsze google apps + aliasy, na alias przychodzi spam to go wywalamy, lub włączamy catchall żeby się archiwizowało “na wszelki”

  11. Otóż jest to baza 114 tys. maili ludzi, którzy wydają pieniądze na kompletnie nie przydatne rzeczy. To chyba istotne dla spamerów?

  12. Sprawa rzeczywiście rozdmuchana, ale nie da się ukryć, że można wykorzystać ujawnione mail’e do całkiem dobrze “ztargetowanego” ataku socjotechnicznego, w stylu “Super

  13. cd. ;) “Super świetny program do współpracy z iPodem”. A jak sami pokazaliście, niektóre mail’e wyglądają na całkiem smakowity kąsek.

  14. sprawa jest o tyle interesująca, że apple ostatnio wytykało wycieki googlowi. (tak, wiem, at&t, ale tak się składa że to użytkownicy ipada i klienci appla, więc wpadka partnerów jest też ich wpadką). a te emaile jak najbardziej są informacją ciekawą, ponieważ zawierają maile których nie ma publicznie dostępnych nigdzie indziej. Poza tym, sam bym się wkurzył gdyby mój email wyciekł w takich okolicznościach, a nie uważam się za “paranoika”. Generalnie naprawdę kiepski wpis

  15. […] i AT&T. Na skutek błędu programistycznego, z serwerów rejestrujących właścicieli iPada wykradziono ich adresy e-mail — wystarczyła enumeracja numerów z kart […]

  16. dla mnie gorszy jest spam na telefonach…
    Zauważyłem coraz więcej reklam/ogłoszeń wyślij sms’a, dostaniesz darmowy dzwonek
    (ale oprocz oplaty 10,98pln nr tel zostaje dopisany do naszej bazy danych abyś był na bieżąco z naszymi najnowszymi konkursami)

  17. […] przy okazji wspomnieć, że 4chan miał swój udział w kilku ciekawych atakch, m.in. wycieku danych klientów iPadów, XSS na YouTube, czy wreszcie “lokalizowaniu” nastolatek postujących nagie zdjęcia w […]

  18. […] O ile same opublikowane przez Anonimowych tokeny i identyfikatory UDID nie stanowią najprawdopodobniej żadnego zagrożenia dla właścicieli sprzętu Apple, to warto pamiętać, że w bazie znajdowały się także dane tele-adresowe właścicieli. Do czego można je wykorzystać? To pytanie pozostawiamy otwarte — jako inspiracja niech posłuży niedawne włamanie na serwery AT&T dzięki czemu wyciekły e-maile właścicieli iPadów. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: