Slik hacket de 114.000 Ipad-eiere

Slik hacket de 114.000 Ipad-eiere

Enkelt php-skript var nok til å stjele hele kunderegisteret til AT&T.

En hackergruppe som kaller seg Goatse Security har tatt på seg ansvaret for å ha fisket ut epost-adressene til 114.000 Ipad-eiere. Et php-skript har gått systematisk til verks for å nappe ut informasjonen fra den amerikanske teleleverandøren At&T, skriver Computerworlds nyhetstjeneste.

Praetorian Security Group har undersøkt skriptet, og mener angrepet ble vellykket fordi nettsiden var dårlig designet.

- Det er ingen hacking, ingen infiltrering og intet innbrudd, bare er dårlig laget webapplikasjon som returnerer epostadresser når den får en ICC-ID, skriver de i sin sikkerhetsblogg.

Brute force

ICC-ID er det unike nummeret alle simkort har. Ipad 3G bruker i likhet med mobiltelefoner simkort.

Det er nettstedet Gawker som først skrev om ”hackingen”. At&T har senere bekreftet det overfor Gizmodo, datteravisa til Gawker.

Ifølge At&Ts sikkerhetssjef Ed Amoroso er det snakk om et såkalt brute force-angrep, en angrepsform der angriperne starter på et gitt tall og teller seg oppover, og sånn sett før eller siden får respons når rett ICC-ID sendes til At&T-siden via skriptet, som igjen vil spytte tilbake en epostadresse per riktige treff.

En prosess med mye prøving og feiling, men som er pinlig enkel og effektiv når den først er automatisert.

Toppsjefer berørt

Når en Ipad 3G-eier bestiller 3G fra At&T, vil operatøren koble den 19-sifrede ICC-ID-en mot en epostadresse som har blitt registrert av brukeren. Epostadressen brukes for å logge inn på en av instillingsfunksjonene på Ipad-en.

Det er denne epostadressen Goatse Security fikk fatt på. Blant annet skal New Yorks borgermester Michael Bloomberg, samt toppsjefer i Dow Jones, New York Times og Time Warner være berørt.

At&T har stengt ned funksjonen, og beklager glippen. De har også påpekt at epost er eneste informasjonen hackerne har fått fatt på. Ut over dette har de ikke ønsket å kommentere saken ytterligere.

FBI vil sette i gang en etterforskning av saken. De vil først og fremst forsøke å finne ut hvorvidt en kriminell handling ble begått eller ikke.