罰款二十萬美元併入獄五年。新澤西州聯邦檢察官保羅·J·菲什曼表示,這就是安德魯·奧恩海默和丹尼爾·斯皮特勒面臨的風險,«AT&T 伺服器被駭»並收集了數十萬個電子郵件地址。 他們剛剛被聯邦調查局逮捕並被帶到聯邦法院。
背景:2010 年 6 月 9 日,Gawker發布“獨家新聞”這會發出很大的噪音。該網站錯誤地提到了«蘋果最嚴重的安全漏洞», 表示已經造訪過«地球上最獨特的電子郵件列表»。在 事實上,有 114,000 個全新 iPad 3G 用戶的位址(沒有相應的識別碼)。我們特別注意到士兵和高級公務員,甚至時任白宮辦公廳主任拉姆·伊曼紐爾的情況。就在中間嗡嗡聲圍繞著iPad,這個故事在網路上流傳開來,而受到直接指責的營運商AT&T 也因此蒙羞。
地址容易被盜
Auernheimer 和 Spitler 向 Gawker 提供了這些地址。兩者都是 Goatse Security 的一部分,Goatse Security 是一個由 IT 專家組成的小組,負責追蹤流行軟體和服務中的安全漏洞。幾天前,Auernheimer 剛剛在 AT&T 網站上為 iPad 用戶發現了一個漏洞。
具體來說,AT&T 網站會自動將訂戶的電子郵件地址與其 ICC-ID(SIM 卡的唯一識別號碼)關聯起來。因此,當使用 iPad 登入時,網站會自動返回使用者的電子郵件地址,以加快表單的填寫速度。小問題:它不是為平板電腦用戶保留的......只要知道地址,任何人都可以自由訪問它。
« 一個由於 AT&T 網路工程師的粗心大意,沒有任何機制可以阻止某人簡單地獲取隨機 ICC-ID 號碼並將其一遍又一遍地輸入到網站上。由於 AT&T 的 ICC-ID 是連續的,因此檢索電子郵件地址清單非常明顯»,在昨天發布的消息中指出了 Goatse Security。幾個小時內,奧恩海默和斯皮特勒 因此,編寫一個 PHP 腳本來測試 AT&T 網站上的隨機 ICC-ID,並檢索訂閱者的電子郵件(如果適用)。幾天之內,他們將透過這種方式獲得大約12萬個地址。
他們的目標是什麼?據他們稱,這表明使用 iPad 的 AT&T 用戶的安全性仍有待提高。問題:雖然一般來說駭客在不向公眾透露安全問題的情況下向公司發出安全問題警告後,兩名同夥無疑是為了尋求公眾關注,將他們的電子郵件列表發送給Gawker 的一名記者,違背了他不會傳播任何個人資訊的承諾…之後等待 AT&T 修復該缺陷。其餘的,我們都知道。
白衣騎士還是貪財的海盜?
因此,Goatse Security 強烈抗議其成員被捕,這些成員現在被指控未經授權存取計算機,特別是組織與個人資訊有關的詐欺行為。然而,該團隊堅信,如果 Gawker 的文章沒有產生如此大的影響,其成員永遠不會受到聯邦警察的騷擾。«收集到的唯一資訊是連結到電子郵件地址(不是私人資訊)的 ICC-ID(完全無用)»,該組織在其部落格上為自己辯護,甚至反駁了該術語«駭客攻擊 »他們恢復資料非常容易。 Goatse Security認為,他們主要是強大的AT&T的受害者,AT&T並沒有意識到自己的形象受到損害,而Gawker則不成比例地放大了事實。
事實仍然是,一位匿名消息人士向司法系統提供了紀錄IRC 其中兩者駭客討論他們如何透過這些地址獲利,特別是透過將 VIP 清單出售給垃圾郵件發送者……就 Goatse Security 而言,它強烈反對匿名來源提供的簡單文字檔案可以用作如此嚴重事件的證據。兩人都在等待審判。
