iPad用户信息泄露 AT&T不作为还是黑客炒作
扫描二维码
随时随地手机看文章
正当iPad热销之际,6月9日,博客网站Gawker.com突然发布了一篇名为《苹果最糟糕的安全漏洞:11.4万名iPad所有者信息被泄露》的文章。随后,事件的关联方在网络上开始针锋相对地展开“自卫战”。而在这场自卫战中,AT&T成了众矢之的,而攻击漏洞的“黑客”却意外地得到了众多网友和舆论的支持。
“今天,我收到了AT&T的道歉信。”一位受害者无奈地叹了口气,“那时,一个念头立刻跳了出来——我要收到更多的垃圾邮件了。”这一天是6月13日。在这一天,AT&T给所有iPad邮件地址泄露门事件的受害者发去了道歉信。
不过,这封道歉信似乎来得有点迟,而且看似是AT&T的无奈之举。
在道歉信发出的6天前,6月7日,AT&T在一个企业客户的通知下,对安全漏洞进行了审查,并于次日修补了这一漏洞。而所谓的修补,不过是停止了一项功能。
iPad内置了AT&T网络的SIM卡,每个SIM卡都带有一个身份验证号——ICC-ID。当把这一验证号发送至AT&T网站,并确认与真实的验证号匹配后,AT&T网站会返回在这一验证号所对应的邮件地址——这被AT&T称为“电子邮件的自动获取功能”。
一家名叫Goatse Security的网络安全组织发现了这一功能的漏洞,并由此获取了11.4万个iPad所有者的邮件地址。用Goatse Security的话说,漏洞是在“无意中”发现的。
在AT&T修复漏洞之前,Goatse Security中的一位成员在使用iPad时发现了这一问题。于是,他们编写了一段代码,用于自动生成一系列ICC-ID,并不断发送至AT&T网站。当这些自动生成的ICC-ID与真实ICC-ID匹配时,AT&T网站会返回给Goatse Security相对应的邮件地址。
通过这一方式获得众多邮件地址后,Goatse Security并没有采取任何行动,他们在等待。直到6月8日,当他们发现AT&T取消了这一功能。于是,他们将这一漏洞信息披露给了Gawker.com。
6月9日,Gawker.com将漏洞信息公之于众,并附带有Goatse Security所盗取的邮件地址。这些地址的主人包括白宫办公厅主任拉姆·伊曼纽尔、ABC新闻主播黛安·索耶、纽约市长迈克尔·布隆伯格、著名电影制片人哈维·温斯坦和纽约时报公司CEO珍妮特·罗宾逊等知名人士。只不过,这些邮件地址的前半部分被遮盖住了。