Apple si fa rubare 114.000 dati di proprietari iPad

Apple sembra sempre più distratta: prima si fa rubare sotto al naso un prototipo di iPhone in un bar della California e ora, subendo una violazione nei sistemi (fragili) di sicurezza AT&T, espone ben 115 mila proprietari di iPad a rischio spam, phising e attacchi maligni.

La notizia ancora più grave è che la lista di mail sottratta alla società di Cupertino non è una lista qualsiasi ma figurano decine di amministratori delegati, funzionari militari e politici di primo piano tutti raggruppati dalla passione smodata dell’avere in anteprima un iPad 3G: insomma la lista mailing list più esclusiva del pianeta è nelle mani degli hacker.

Addirittura in questa “lista nera” figurerebbero personaggi di fama mondiale: dall’amministratore delegato Janet Robinson del New York Times a Diane Sawyer della ABC New e al sindaco Michael Bloomberg per arrivare fino al capo di stato maggiore della Casa Bianca Rahm Emanuel.

Le informazioni violate sono gli indirizzi e-mail dei clienti e un numero identificativo utilizzato per autenticare l’utente sulla rete AT&T, chiamato ICC-ID. Questo codice serve per identificare la sim card e associare un dispositivo mobile con un determinato abbonato.

AT&T, appena accortasi della falla di sicurezza, ha chiuso il buco, ma le vittime sembrano non esserne al corrente, ancora ad ora. Il bug nei sistemi quindi sembra essere colpa di AT & T al momento, ma sarà complicata la gestione della situazione con Apple.

Anche se la vulnerabilità di sicurezza era limitata ai server di AT & T, Apple ha infatti la responsabilità di garantire la privacy dei suoi utenti, i quali hanno fornito alla società di Cupertino i loro indirizzi email per attivare gli iPads. Visto che negli USA AT&T è l’unico partner ad avere l’esclusiva commerciale,  la responsabilità di Apple nel verificare i sistemi è sicuramente maggiore.

A sommarsi al disastro mediatico della falla sui sistemi AT & T, ci sono il cattivo servizio denunciato dagli utenti e i prezzi stellari che obbligano a spendere fino a $ 830 e $ 25 al mese per la versione 3G dell’iPad.

Chi è riuscito a violare i sistemi AT&T è la società Goatse Security che ottenuto i dati eseguento uno script sul sito di AT&T, dove chiunque poteva essere in grado di farlo. Fornendo l’ICC-ID durante una richiesta HTTP, lo script eseguito restituiva l’indirizzo email associato all’ICC-ID. Ovviamente invece la risposta doveva rimanere all’interno dell’applicazione, a lato server.

Il gruppo che ha scritto lo script PHP per automatizzare la raccolta dei dati ha affermato che poi il codice è stato condiviso con terze parti prima che AT & T chiudesse il buco di sicurezza, e quindi non si sa esattamente chi e per quale fine ne abbia fatto uso ma fonti internet ammettono che oltre 114 mila utenti sono stati compromessi.

Le vittime: ecco alcuni grandi nomi

Analizzando tra le 114.067 mail rubate si rimane stupiti dai nomi illustri: ci sono ad esempio i militari, con alcuni dispositivi registrati al dominio della DARPA (la divisione di ricerca avanzata del Dipartimento della Difesa).

indirizzi-governo-apple-ipad-at&t-rubati

Nel settore dell’informazione, media e intrattenimento, ecco i top manager del New York Times Company, Dow Jones, Condé Nast, Viacom, Time Warner, News Corporation, HBO e Hearst.

indirizzi-VIP-apple-ipad-at&t-rubati

Compromessi anche numerosi account corporate Google, Amazon, Microsoft e AOL oltre a Goldman Sachs a JP Morgan a Citigroup a Morgan Stanley. Per non parlare delle decine e decine tra dirigenti di venture capital e private equity.

Rubati anche i dati del governo: sembrano essere violati gli account Gmail dello staff Rahm Emanuel, oltre alla Camera dei Deputati, al Ministero della Giustizia, alla NASA, alla FCC e dell’Istituto Superiore di Sanità.

Implicazioni

Centinaia di migliaia di abbonati, soprattutto di alto profilo, coinvolti nella falla di sicurezza, potrebbe essere esposti ad attacchi degli hacker.

AT&T rischia molto probabilmente un’enorme causa legale: aver permesso di rubare una tra le più grandi mailing list vip al mondo complicherà oltre ogni modo il rapporto molto proficuo con Apple. Ad aggravare la situazione si aggiunge poi la mancanza di informativa da parte di AT&T verso i propri clienti ancora all’oscuro di tutto dopo la scoperta della falla risalente ad oltre due giorni fa. In aggiunta, non è chiaro se AT&T ha già comunicato ad Apple tutti i dettagli violazione.

Ma il danno più grande potrebbe essere proprio la divulgazione del codice ICC-ID: a seguito delle recenti scoperte sembrerebbe infatti possibile effettuare spoofing di un dispositivo e intercettare il traffico, utilizzando proprio l’ID ICC.

E’ vergognoso come i dati e gli indirizzi dei clienti, in particolare le e-mail, siano trapelate da uno dei più grandi colossi di telecomunicazione come AT&T.

Né Apple né AT & T hanno al momento rilasciato una dichiarazione ufficiale.

a sempre più distratta: prima si fa rubare sotto al naso un prototipo di iPhone in un bar della California e ora, subendo una violazione nei sistemi (fragili) di sicurezza AT&T, espone ben 115 mila proprietari di iPad a rischio spam, phising e attacchi maligni.

La notizia ancora più grave è che la lista di mail sottratta alla società di Cupertino non è una lista qualsiasi ma figurano decine di amministratori delegati, funzionari militari e politici di primo piano tutti raggruppati dalla passione smodata dell’avere in anteprima un iPad 3G: insomma la lista mailing list più esclusiva del pianeta è nelle mani degli hacker.

Addirittura in questa “lista nera” figurerebbero personaggi di fama mondiale: dall’amministratore delegato Janet Robinson del New York Times a Diane Sawyer della ABC New e al sindaco Michael Bloomberg per arrivare fino al capo di stato maggiore della Casa Bianca Rahm Emanuel.

Le informazioni violate sono gli indirizzi e-mail dei clienti e un numero identificativo utilizzato per autenticare l’utente sulla rete AT&T, chiamato ICC-ID. Questo codice serve per identificare la sim card e associare un dispositivo mobile con un determinato abbonato.

AT&T, appena accortasi della falla di sicurezza, ha chiuso il buco, ma le vittime sembrano non esserne al corrente, ancora ad ora. Il bug nei sistemi quindi sembra essere colpa di AT & T al momento, ma sarà complicata la gestione della situazione con Apple.

Anche se la vulnerabilità di sicurezza era limitata ai server di AT & T, Apple ha infatti la responsabilità di garantire la privacy dei suoi utenti, i quali hanno fornito alla società di Cupertino i loro indirizzi email per attivare gli iPads. Visto che negli USA AT&T è l’unico partner ad avere l’esclusiva commerciale,  la responsabilità di Apple nel verificare i sistemi è sicuramente maggiore.

A sommarsi al disastro mediatico della falla sui sistemi AT & T, ci sono il cattivo servizio denunciato dagli utenti e i prezzi stellari che obbligano a spendere fino a $ 830 e $ 25 al mese per la versione 3G dell’iPad.

Chi è riuscito a violare i sistemi AT&T è la società Goatse Security che ottenuto i dati eseguento uno script sul sito di AT&T, dove chiunque poteva essere in grado di farlo. Fornendo l’ICC-ID durante una richiesta HTTP, lo script eseguito restituiva l’indirizzo email associato all’ICC-ID. Ovviamente invece la risposta doveva rimanere all’interno dell’applicazione, a lato server.

Il gruppo che ha scritto lo script PHP per automatizzare la raccolta dei dati ha affermato che poi il codice è stato condiviso con terze parti prima che AT & T chiudesse il buco di sicurezza, e quindi non si sa esattamente chi e per quale fine ne abbia fatto uso ma fonti internet ammettono che oltre 114 mila utenti sono stati compromessi.

Le vittime: ecco alcuni grandi nomi

Analizzando tra le 114.067 mail rubate si rimane stupiti dai nomi illustri: ci sono ad esempio i militari, con alcuni dispositivi registrati al dominio della DARPA (la divisione di ricerca avanzata del Dipartimento della Difesa).

indirizzi-governo-apple-ipad-at&t-rubati

Nel settore dell’informazione, media e intrattenimento, ecco i top manager del New York Times Company, Dow Jones, Condé Nast, Viacom, Time Warner, News Corporation, HBO e Hearst.

indirizzi-VIP-apple-ipad-at&t-rubati

Compromessi anche numerosi account corporate Google, Amazon, Microsoft e AOL oltre a Goldman Sachs a JP Morgan a Citigroup a Morgan Stanley. Per non parlare delle decine e decine tra dirigenti di venture capital e private equity.

Rubati anche i dati del governo: sembrano essere violati gli account Gmail dello staff Rahm Emanuel, oltre alla Camera dei Deputati, al Ministero della Giustizia, alla NASA, alla FCC e dell’Istituto Superiore di Sanità.

Implicazioni

Centinaia di migliaia di abbonati, soprattutto di alto profilo, coinvolti nella falla di sicurezza, potrebbe essere esposti ad attacchi degli hacker.

AT&T rischia molto probabilmente un’enorme causa legale: aver permesso di rubare una tra le più grandi mailing list vip al mondo complicherà oltre ogni modo il rapporto molto proficuo con Apple. Ad aggravare la situazione si aggiunge poi la mancanza di informativa da parte di AT&T verso i propri clienti ancora all’oscuro di tutto dopo la scoperta della falla risalente ad oltre due giorni fa. In aggiunta, non è chiaro se AT&T ha già comunicato ad Apple tutti i dettagli violazione.

Ma il danno più grande potrebbe essere proprio la divulgazione del codice ICC-ID: a seguito delle recenti scoperte sembrerebbe infatti possibile effettuare spoofing di un dispositivo e intercettare il traffico, utilizzando proprio l’ID ICC.

E’ vergognoso come i dati e gli indirizzi dei clienti, in particolare le e-mail, siano trapelate da uno dei più grandi colossi di telecomunicazione come AT&T.

Né Apple né AT & T hanno al momento rilasciato una dichiarazione ufficiale.

Commenti Facebook: