11.4万iPad用户数据遭泄露 白宫高管榜上有名

　　一组黑客利用了AT&T网站的一个漏洞，成功获取了11.4万个iPad用户的邮箱地址，看来已经购买iPad的用户大多为政府、金融、媒体、科技公司以及军事机构的高管们。

　　Gawker在周三披露了这件事，并且表示，此次泄露事件可能将会影响到全美国的iPad 3G用户。一些著名的iPad用户似乎难逃此次危机，比如白宫办公厅主管Rahm Emanuel、Diane Sawyer，纽约市长Michael Bloomberg，电影制片人Harvey Weinstein以及纽约时报的CEO Janet Robinson。

AT&T网站的漏洞导致大量iPad用户SIM卡序列号和邮箱地址遭到泄露

　　报告表示，一个自称Goatse Security的组织戏弄了AT&T的网站，他们通过HTTP请求发送了一个电子邮件地址，这时网站会返回一个包含iPad SIM卡序列号的信息。这些序列号，我们叫它ICC-ID(集成电路卡识别器)，是按照顺序生成的，黑客可以批量的猜测它们前后的序列号，并且设计一个程序，来自动整理出AT&T网站上的序列号。

　　AT&T的发言人Mark Siegel向记者证实了该漏洞的存在，同时表示，该公司周二已经关闭了邮件地址发送的功能。一天之后，这个问题将不会再被黑客团队利用。

　　他在声明中表示，“AT&T公司获悉，周一，商业客户的iPad ICC-ID面临着一些被泄露的潜在风险。我们得到的唯一信息是能够从ICC-ID中得到邮件地址。”

　　他表示，“我们将进一步的调查，并且通知所有的邮件地址和ICC-ID被泄露的用户。在这一点上，没有证据显示，其他的用户数据也遭到泄露。”Goatse Security的研究代表没有对邮件地址的泄露事件发表任何评论。该机构专门查找系统、网站以及浏览器的漏洞。

　　苹果公司的代表拒绝了记者的采访要求，但是他们的安全专家表示，这个问题的责任完全在于AT&T网站，和苹果没有任何关系。

　　他们还表示，AT&T的网站同时还包含有很多潜在的安全漏洞。

　　Veracode的首席技术官Chris Wysopal表示，“这是一个严重的错误，不要求验证就可以返回用户的私人数据。对于网站应用程序而言，这个方面的要求是非常基础的。”

　　专家表示，无论是电子邮件地址还是SIM卡序列号，都是非常敏感的信息。

　　独立安全评论员Charlie Miller表示，“对我而言，这不像是一个巨大的损失，这没有社保安全号或者信用卡号丢失带来的危害大。”

　　但是，从一般意义上来说，获得了国防部长、联邦法院或者高盛高层的邮箱地址，很可能可以发起有针对性的钓鱼攻击。

　　白帽首席战略官Bill Pennington表示，“现在全世界都知道了，世界上有哪些人在用iPad，我们可以看到他们的公司名称、SIM卡序列号以及邮箱地址，这会让他们的安全保护更加的脆弱。”

　　Pennington还表示，还存在一个风险，也就是利用获取的SIM卡序列号，来通过AT&T的网站获取更多的用户数据。“我相信，利用这个序列号，我们可以查到更多的个人数据，而不仅仅只是iPad用户在公司中的数据。”

　　移动安全公司Lookout的首席技术官Kevin Mahaffey表示，“很显然，AT&T将ICC-ID作为他们网站识别用户的标志。问题在于，在AT&T后台，这个ID和哪些数据会挂钩?现在的趋势是一个ID很可能会和一个用户所有的数据发生联系。”

　　根据Gawker，Goatse Security分享了他们关于AT&T网站的一些看法，他们认为，黑客羞辱了对美元比对用户安全更感兴趣的AT&T。

　　Pennington说，“我不认为这些数据非常有价值，这次攻击主要是为了羞辱AT&T，让他们感到狼狈。”