AntiSec ruba 12 milioni di UDID da un laptop dell'FBI
Un gruppo id hacker che si fa chiamare AntiSec sostiene di aver copiato 12 milioni di Apple iOS Unique Device ID (UDID), insieme ad altri dati personali, da un computer di un agente dell'FBI.
I Unique Device Identifiers (UDID) di Apple - una sequenza casuale di 40 lettere e numeri - non contengono molte informazioni in sé -, ma quando usati insieme ad altri dati come la password di iTunes, l'email, l'indirizzo di casa o il numero della carta di credito potrebbero creare dei rischi per l'utente.
AntiSec ha pubblicato un milione di UDID su Pastebin insieme a una descrizione dettagliata di come gli hacker hanno ottenuto questi dati:
Durante la seconda settimana di Marzo del 2012, un notebook Dell Vostro, usato dall'Agente Speciale Christopher K. Stangl del Regional Cyber Action Team e New York FBI Office Evidence Response Team dell'FBI è stato compromesso usando la vulnerabilità AtomicReferenceArray di Java. Durante la sessione vari file furono scaricati, tra cui uno con il nome di "NCFTA_iOS_devices_intel.csv" è risultato essere una lista 12.367.232 dispositivi Apple iOS che include Unique Device Identifiers (UDID), username, nome e tipo del dispositivo, token per l'Apple Push Notification Service, numeri di cellulare, indirizzi...
Mentre questa lista, se confermata essere autentica, comporterebbe dei rischi per i dispositivi e le persone contenute in quella lista, ci sono alcuni punti interessanti da considerare: chi e come ha raccolto questi dati? Sono davvero pericolosi in mano ai malintenzionati?
Non si sa ancora se i dati pubblicati da AntiSec siano reali, se effettivamente hanno altri 11 milioni di record e se tutti questi provengono da un computer dell'FBI. Possiamo fare delle ipotesi però. I dati possono essere stati raccolti in due modi: un'app con almeno 12 milioni di utenti li sta registrando in chiaro su un file (pratica che rasenta il criminale), oppure l'FBI sta ascoltando le nostre comunicazioni via Wi-Fi aperte e raccogliendo questi dati. La seconda opzione sarebbe la più grave ed è un peccato che AntiSec non abbia dato prove del fatto che questi record provengono davvero da un computer dell'FBI.
In quanto alla pericolosità, sì, sarebbe davvero preoccupante se AntiSec avesse tutti i dati che sostiene di avere. Mentre una persona normale non saprebbe cosa farsene di tutto ciò, esperti di sicurezza come Aldo Cortesi di NullCube dichiarano che, "Quando ci guardai l'ultima volta, dimostrai come usando solo lo UDID, era possibile accedere a informazioni private come le liste degli amici con cui si gioca e con cui si chatta. Sono stato anche in grado di prendere il controllo di account Facebook e Twittter usando solo lo UDID." Cortesi indica che questi problemi erano causati da vulnerabilità nei siti di social gaming e che queste vulnerabilità sono stata patchate. "Ma non è da escludere il resto dell'ecosistema sia più sicuro di quella piccola parte che esaminai," continua Cortesi, "e un database come questo permetterà a qualcuno di fare la stessa cosa ch feci io, ma su vasta scala."
Se volete potete dare un'occhiata qui o qui per capire se i vostri dati sono in mano ad AntiSec. Anche se non dovesse apparire lo UDID, ricordate che la ricerca è effettuata solo sul milione di UDID pubblicati e che ci sono altri 11 milioni di cui non si sa nulla. Se non sapete cosa sia il vostro UDID, potete trovare le istruzioni su come cercarlo da qui.
Se invece foste tra gli sfortunati, non vi preoccupate, sembra siate in compagnia di illustri. Notato da RazorianFly, sembra che anche l'UDID dell'iPad di Barck Obama, sia finito nelle mani di AntiSec.
Aggiornamento: L'FBI nega di aver mai avuto questi dati in suo possesso e che questi dati siano quindi stati rubati da un suo dispositivo. Apple dichiara di non aver mai consegnato tali dati all'FBI o a nessun altra azienda o ente.
- [09/06/12] Milioni di password rubate su LinkedIn
- [08/01/07] Pc Zombie, 2 milioni nel mondo: è allarme