黑客称不会外泄信息 AT&T安全漏洞谁负责
来源:天极网新闻频道 作者:张清
原文:http://news.yesky.com/231/11377231.shtml
据国外媒体报道,FBI已经介入调查iPad用户电子邮件信息泄露事件。但其中疑点重重,事情远远尚未结束。
6月10日,据外国媒体报导,电信运营商AT&T为苹果iPad提供无线网络服务的网站存在安全漏洞,该漏洞使得14.4万名iPad 用户的电子邮箱地址等隐私被泄露。因为苹果公司要求用户必须用电邮形式在AT&T网站上注册并激活iPad,因此AT&T网站存有大量 iPad用户信息。一个黑客组织Gotase Security9日宣布,他们利用AT&T的网站漏洞,获得约11.4万个iPad用户的邮件地址,而且还获得这些用户的身份识别码。
该组织通过发送包含iPad SIM卡序号的HTTP要求,使得AT&T网站误判而暴露了用户的邮箱地址,这些序号(称为ICC-ID)则是采用连续码产生。AT&T 周二紧急关闭了这项提供邮箱地址的服务,此后一天科技博客Valleywag首次报道了这一事件。
事后Gotase Security组织发言称他们的行为是合乎道德的,并未违反法律,且完全是为了维护公共利益,因为可以避免AT&T的客户的资料遭受真正的恶意盗取。
据悉,被泄露了电邮地址的用户包括白宫办公厅主任拉姆·伊曼纽尔、纽约市长迈克尔·布隆伯格,《纽约时报》、《时代》杂志、新闻集团等传媒巨头首席执行官,联邦航空局、国土安全部、国家航空航天局员工,多家金融机构员工,以及空军上校威廉·埃尔德里奇。
AT&T宣布他们已经于9号修补好了该漏洞,但是事情还远远没有结束,有更多的媒体和博客就此事情进行了进一步探讨,内容主要围绕一个责任问题——不管是苹果还是AT&T,或者Gotase Security组织都应对此有一个解释。不过现在除了Gotase Security 和Valleywag一直在谈论此事情,AT&T和苹果公司都保持缄默,FBI相关调查人员也拒绝透露进一步消息。
这样严重的一个安全漏洞造成的影响是不可预测的。FBI害怕这样的计算机入侵事件会对国家安全构成威胁,开始调查潜在的网络威胁。 Valleywag声称FBI已经要求该博客安全保留Gotase Security透露给它的隐私信息。
那么回溯整个过程,Gotase Security 声称“完全是为了维护公共利益”,那么在Gotase Security组织把相关信息透露给Valleywag博客,并且让全世界都知道AT&T存在安全漏洞之前,是否已经通知了AT&T这个问题呢?Valleywag博客为Gawker Media拥有,Gawker Media旗下的Gizmodo博客曾经曝光苹果iPhone4遗失事件。
Gotase Security周四晚上发声明说尽管他们没有通知AT&T,但是他们确保会有人通风报信,在相关信息到达Valleywag博客之前 AT&T能修补上漏洞。“我们没兴趣直接与AT&T接触,但是在披露之前我们非常有耐心的等待他们‘做好自家内务,修好自家漏洞’,并且我们没有通过这件事情榨取一分钱。只有一个Gawker的记者看到了这些信息,并且这些信息进行了一些编辑才登出。”
Goatse 还说“我们所有数据的收集都是通过一个没有密码的公共网络服务器,网上的任何人都可以进入,我们的行为没有违法,没有入侵,没有渗透”,“我们没有把你的信息出售给垃圾邮件发送者,我们更没有试图攻击你的iPad。相反你的ipad正因为我们而更安全。”
“我们需要做出这些澄清,iPad 3G的用户有权利知道他们的信息不安全而及时采取措施。”Goatse表示。
那么整个过程究竟谁该负责任呢?显然Gotase Security给AT&T上了一堂惊险又窘迫的“安全课程”,AT&T在登记用户信息方面应该采取一种新的方法,AT&T可能想让用户在注册时更简单一些,但是却忽略了安全隐患,这是AT&T的失职。Gotase Security这种方式当然不会被提倡,何况真真假假虚虚实实之中,谁也不能保障说“被暴露的用户隐私信息目前及以后都是安全的”。经历此事件之后,苹果这些公司应该会更加关注网络运营商在用户信息注册方面的流程,毕竟以个人邮件方式在网络上注册和激活产品需要更加安全的保护措施。
关于此事件的进一步信息还需要等待FBI的进一步调查。
