iPad 3G: 114.000 Mailadressen durch AT&T-Sicherheitslücke offenbart
kg, den 10. Juni 2010Durch ein Datenleck konnten die persönlichen Daten von insgesamt rund 114.000 iPad 3G-Käufern aus den USA ausgelesen werden – darunter nicht nur Journalisten, sondern auch Politiker und leitende Mitarbeiter bei der Armee. Schuld an dem Datenklau: Eine Sicherheitslücke im Identifizierungssystem bei AT&T.
Eine französische Hacker-Gruppe namens Goatse Security entdeckte die Schwachstelle: Ein PHP-Script auf der AT&T-Seite lieferte sowohl den SIM- Identifikationscode sowie die dazu gehörende Mailadresse aus. Erst wurde dieser Vorgang mit eigenen iPad-SIM-IDs getestet, danach wurde ein Script erstellt, um die Anfragen automatisiert abschicken zu können. Schlussendlich ließen sich etwa 140.000 Mailadressen inklusive Geräte-ID abfragen. Gawker wurde diese Liste nun vorgelegt, die vor allem Nutzer beinhaltet, die unter den ersten iPad 3G-Käufern waren.
Unter diesen befinden sich unter anderem Mitarbeiter der US-Verteidigungsministeriums, leitende Angestellte von Medien und der Unterhaltungsindustrie wie New York Times, Condé Nast, Viacom, Time Warner und HBO. Auch aus dem Technikbereich ließen sich einige Käufer entdecken: Mitarbeiter von Google, Amazon, Microsoft und AOL finden sich in den Listen wieder.
Die Sicherheitslücke auf der AT&T-Seite wurde geschlossen, allerdings erst, nachdem sie von Goatse Security darauf hingewiesen wurden. Welche Folgen genau die Datensammlung haben könnte, kann nur vermutet werden: Solcherlei Listen lassen sich prinzipiell von Spam-Versendern und unter Umständen auch zum Hacken der Accounts nutzen. Mit den SIM-IDs selbst kann man laut Sicherheitsexperten nichts anfangen.
Was das Datenleck am Ende weniger für die Nutzer, als viel mehr für AT&T selbst bedeuten wird, kann man nur vermuten: Apple ist als Anbieter des iPad dafür verantwortlich, die Käuferdaten zu schützen. In den USA heißt dies, dass sichergestellt werden muss, dass AT&T mit den Daten gewissenhaft umgeht. Das Verhältnis zwischen Apple und AT&T ist derzeit ohnehin angespannt, unter anderem durch die Netzprobleme gerade in Metropolregionen. Ein Datenleck wie dieses könnte Folgen in Bezug auf das Kundenvertrauen haben: Potentielle iPad-Käufer könnten sich davon abschrecken lassen, dass ihre Daten möglicherweise den Falschen in die Hände fallen.
Die Hacker selbst sind in der Szene übrigens keine Unbekannten: sie haben bereits Sicherheitslücken in Safari und Firefox aufdecken können, außerdem haben sie eine Schwachstelle in Amazons Ratingsystem entdeckt. Die Daten, die sie nun ermittelt haben, hätte theoretisch jeder bekommen können, der Zugriff zum Internet hat. Die ausgelesenen Daten waren offenbar Teil einer Web-Anwendung, die mit Hilfe eines gefakten iPad-User Agents ausgelesen werden konnten. Wie viele Daten letztendlich ausgelesen wurden, kann übrigens nicht gesagt werden: Goatse Security hatte das Script auch an andere weitergegeben, es ist also wahrscheinlich, dass es mehr als die hier genannten 114.000 Datensätze sind.
[via Gawker]