AT&T iPad-Kundendatenhack: Anklage erhoben, Täter strebten „max lols“ an

rj, den 19. Januar 2011

Die Kleinigkeit von über 100.000 Mailadressen und Datensätze von iPad-Kunden konnten durch eine Sicherheitslücke bei AT&T ausgelesen werden. Das FBI ermittelte, nun wurde Anklage erhoben. Die beiden Hacker der „Goatse Security“ sahen den schwarzen Peter bei AT&T, welche die Sicherheitslücke nicht gefixt hätten. Die Motivation der beiden Datensammler: maximale LOLs.

Die letztgenannten Details gehen aus den Chatlogs hervor, die nun bei der Klageerhebung als Beweismittel dienen. 114.000 Datensätze wurden per Script ausgelesen, die Daten übergab man an Gawker Media. „Goatse Security“ nannte sich die Gruppe, zu denen die beiden nun beschuldigten „Verdächtigen“ gezählt werden. Für die versuche, die „größtmöglichen Lacher“ aus der A&T-Lücke herauszuholen, wird den beiden nun Identitätsdiebstahl und Verschwörung zum Einbruch in ein Computersystem vorgeworfen.

„Verdächtig“ in Anführungszeichen: große Geheimniskrämerei betrieben die beiden nicht, was den AT&T-Hack anging. Ihr Vorgehen besprachen sie mit einer Reihe von Teilnehmern in einem IRC-Raum, die Logs offenbaren eine tendenziell sorglose, aber nicht von übermäßiger krimineller Energie zeugende Haltung. Ausgenutzt wurde die Möglichkeit, sich bei AT&T als vorgebliches iPad anzumelden und mit einer simplen Brute Force-Attacke – man probierte schlicht SIM-ICCIDs aus – Accounts auszulesen. Nach den ersten Accounts, die man über die Lücke auslesen konnte, war man sich sicher, dass man größere Datenmengen sammeln konnte. Aus dem Chatlog:

Spitler: I hit fucking oil
Auernheimer: loooool nice
Spitler: If I can get a couple thousand out of this set where can we drop this for max lols?
Auernheimer: dunno i would collect as much data as possible the minute its dropped, itll be fixed BUT valleywag i have all the gawker media people on my facecrook friends after goin to a gawker party

Später wurde noch die Möglichkeit diskutiert, mit dem erwartbaren Kursknick der AT&T-Aktie nach Bekanntgabe der Story einige Dollar zu verdienen, was die beiden jedoch ablehnten. Die Kundendaten gingen an Gawker Media, einer der beiden verdächtigen verkündete den hack auch auf seinem persönlichen Blog, darüber hinaus wurde ein Generalstaatsanwalt angeschrieben und über AT&Ts sorgloses Sicherheitskonzept informiert. AT&T wiederum erklärte, nicht m Vorfeld von de Lücke unterrichtet worden zu sein und von einem „Geschäftskunden“ auf die Möglichkeit zum Kundendatenzugriff durch Dritte erfahren zu haben.

Für den Carrier ist die Angelegenheit peinlich: die Selbstdarstellung als Opfer böswilliger Hacker scheint nicht zum tatsächlichen Hergang der Geschichte zu passen, ebenso wurde die Behebung der Sicherheitslücke zu spät in Angriff genommen. „Max lols“ dürfte auch das Statement des ebenso vom AT&T-iPad-GAU betroffenen Bürgermeisters von New York, Michael Bloomberg erzielt haben: es sei „nicht allzu schwer, meine E-Mail-Adresse herauszufinden.“ Angesichts allenthalben gehypter Cyberterrorismusgefahr und parallel sorglos offen stehen gelassener Sicherheitslücken möglicherweise eine eher ungeschickte Reaktion.


Ähnliche Nachrichten

Passende Angebote