AT&T, scambio di utenti su iPhone 4

Un bug ha mescolato le credenziali d'accesso, permettendo la visualizzazione di informazioni personali di sconosciuti. Mentre continua la guerra tra la telco statunitense e Goatse Security. Arresti e perquisizioni
Un bug ha mescolato le credenziali d'accesso, permettendo la visualizzazione di informazioni personali di sconosciuti. Mentre continua la guerra tra la telco statunitense e Goatse Security. Arresti e perquisizioni

C’è chi ha parlato di una disastrosa iPhonecalypse , a gettare ulteriore benzina sulle già roventi delusioni legate al numero di prime ordinazioni del nuovo device made in Cupertino , iPhone 4G. Tutta colpa di un aggiornamento maligno, di un pericoloso bug che ha messo pesantemente a rischio la privacy di un gran numero di utenti della telco statunitense AT&T.

E quelli di Gizmodo (sempre loro, ormai, quando si parla di iPhone) sono stati inondati di messaggi di posta elettronica, tutti da parte di utenti a stelle e strisce, tutti decisamente allarmati. “Ho effettuato il login con le mie credenziali, ma ho avuto accesso all’account di una certa Mary. Bel problema” ha spiegato uno dei preoccupati utenti.

In sostanza, i vari utenti di AT&T – desiderosi di effettuare un pre-ordine del nuovo Melafonino – si sono ritrovati a poter leggere tutte le informazioni personali di persone sconosciute, tra cui indirizzi fisici e indirizzi email, contatti e svariati dettagli sulle bollette telefoniche. “Mi ha loggato come un ufficiale di marina di nome Scott”, ha spiegato un altro utente.

E contattata proprio da Gizmodo , AT&T pare aver ammesso l’esistenza di un “bel problema”, allo stesso tempo assicurando che tra le informazioni visibili non ci sono quelle relative a numeri di previdenza sociale o a carte di credito. Una fonte interna alla telco statunitense ha tuttavia fatto trapelare qualcosa di più complesso: lo scambio random di account sarebbe stato causato da un errore nell’aggiornamento software interno ai server di AT&T .

Non è stato certo un bel mese per la sicurezza interna dei sistemi informatici della telco di New York. Alcuni giorni fa , un altro buco – una funzionalità specifica del sito di AT&T – aveva messo a repentaglio la privacy di circa 114mila clienti, tutti possessori di iPad 3G . Informazioni personali come indirizzi email e numeri identificativi delle SIM, potenzialmente volati tra le mani di cracker malintenzionati.

AT&T aveva gettato tutta la colpa sui cybercriminali del gruppo Goatse Security , rei di aver scritto codice per generare automaticamente i numeri necessari a spalancare il servizio “previsto per rendere il login degli utenti iPad più veloce e comodo”. Ma il gruppo Goatse Security aveva poi sottolineato come le sue azioni fossero perfettamente legittime – e per il pubblico interesse – dal momento che i dati erano accessibili senza il bisogno di alcuna intrusione o attacco, semplicemente con una richiesta sistematizzata . I cracker hanno ora puntato il dito contro l’accoppiata AT&T/Apple, rea di mettere continuamente a repentaglio la sicurezza degli utenti.

Secondo Goatse Security , gli ID delle varie SIM card (ICC-ID) – ottenute semplicemente attraverso la richiesta sistematizzata al sito di AT&T – potrebbero liberamente venire sfruttate per determinare l’esatta posizione di ogni possessore di iPad . Questa libertà potrebbe poi essere combinata con una falla scoperta dalla stessa Goatse Security a marzo. Un exploit interno al browser di Apple Safari , non ancora risolto su iPad, che permetterebbe l’intrusione di spam e malware assortiti. Ma le critiche feroci di Andrew Auernheimer, 24enne cittadino dell’Arkansas nonché membro di Goatse Security , sono state di recente stroncate da una perquisizione da parte degli agenti dell’FBI .

Dopo l’irruzione, i federali hanno trovato nella sua abitazione una quantità discreta di sostanze stupefacenti, tra cui cocaina, ecstasy e LSD . Rimane tuttavia oscuro il motivo principale del mandato di perquisizione – quindi dell’arresto – probabilmente ottenuto da AT&T a partire dalla penetrazione illecita da parte di Goatse Security . Come ammesso dagli stessi agenti dell’FBI , non c’era una sola supposizione sull’eventuale possesso di droghe da parte di Andrew Escher Auernheimer.

Mauro Vecchio

Link copiato negli appunti

Ti potrebbe interessare

16 06 2010
Link copiato negli appunti