Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 77, views: 27.919 •
Submitter: FvdM

Gegevens van 114.000 mensen die een iPad 3G hebben gekocht zijn in handen van hackers gevallen. De hackers verkregen de gegevens door een beveiligingslek bij telecomprovider AT&T. De provider heeft het voorval bevestigd.

Bij de 114.000 bestellingen waarvan de gegevens werden buitgemaakt zitten orders van Amerikaanse politici, militaire organisaties en ceo's van bedrijven, zo meldt Gawker. De hackers, een groep die zichzelf Goatse Security noemt, verkregen e-mailadressen met daaraan gekoppeld een zogenaamd ICC-id, waarmee de bestelde iPad zich op het netwerk van AT&T kan identificeren. Op een http-request, met daarin een ICC-id en een user agent-profiel van de iPad, stuurde de server van AT&T het bijbehorende e-mailadres terug. Met behulp van een php-script werd het versturen van requests naar de server geautomatiseerd, waarna gegevens van meer dan honderdduizend iPad-orders in handen van de hack-groep vielen.

AT&T heeft inmiddels het beveilingslek verholpen. Aan Gawker meldt de provider zich voor de hack te verontschuldigen. AT&T gaat klanten waarvan het ICC-id en het e-mailadres zijn buitgemaakt op de hoogte stellen. Waarschijnlijk kunnen de hackers niet veel met het ICC-id; het is wellicht mogelijk om er een apparaat mee te spoofen om zo data te onderscheppen, maar de encryptie op dataverbindingen zou ervoor moeten zorgen dat dit niet zomaar mogelijk is.

iPad-order leak iPad-order leak

Reacties (77)

Tjone-jonge wat een lol...

Dit soort hacks zijn nooit leuk. De gegevens vallen bijna per definitie in handen van de verkeerde personen.
Waarschijnlijk kunnen de hackers niet veel met het ICC-id;
Dat lijkt me een erg snelle conclusie. Waarom zouden de hackers al de moeite doen om zo veel gegevens te pakken kunnen krijgen ? Dat wekt alleen maar de aandacht van de systeembeheerders. Houdt het dan even bij een paar gegevens (proof of concept) en sla je slag wanneer je echt beet hebt.
SanneVs reactie gaat dan ook over de naam van de hackersgroep, niet om de hack op zich. Ik moet zeggen dat ik het ook een leuke naam vond :)
Het ICC-id hadden ze al, of om het anders te zeggen: Het ICC-id hebben ze gegokt. Daarmee hebben ze vervolgens een request gedaan.
Aan een gegokt ICC-id heb je waarschijnlijk niets, omdat je niet weet of het in gebruik is. Echter als er een email adres terug komt van AT&T, dan zal het ICC-id dus wel in gebruik zijn.

Omdat email adressen vaak best duidelijk aangeven wie en wat nu de echte persoon is, is je privacy daarmee aardig aangetast.

Maar op zich zijn er niet veel gegevens buitgemaakt. Hoewel die gegevens dan wel weer veel weggeven over de persoon.
114000 actieve mailadressen zal op de zwarte markt toch ook iets waard zijn lijkt me...
Het zal nog wel leuk worden, krijgen ze eerst een mailtje van AT&T met "pas op voor de hackers", krijgen ze daarna weer een mailtje "pas op voor AT&T" en daarna een shitload aan onzin.
Een nep-email sturen van AT&T wat vraag om een bepaalde handeling uit te voeren om zo zogenaam het ICC-id te wijzigen zou een optie zijn.
Het zou me niets verbazen als dit id nog ergens te gebruiken valt.
Jep, Backdoor Security . . .
Wow dat is toch wel een vrij vors lek. Ook de aantallen zijn erg groot gezien het aantal verkochte iPads.
Gelukkig opgelost, maar dit zou toch niet moeten kunnen?

ps: Was al even bang, heb zelf een reguliere iPad, en had al zoiets van hoe kunnen ze dat nou onderscheppen. Was ff de 3G vergeten
De fout ligt dus helemaal puur bij AT&T. Het is niet zo dat de 3G-ipads gehacked zijn of zo.

En wat hebben ze daarna? Een lijstje met emailadresssen...

In principe hetzelfde mogelijke "lek" als een bepaalde nieuwsgroepenprovider die een klantnummer als username en de postcode als wachtwoord heeft.
Dus als je weet dat op een postcode iemand een abbo heeft, kan je gewoon een hoop nummers uitproberen om in te loggen. Niet dat ik dat geprobeerd heb of zo hoor.
Goatse Security? Errrrrr...

---

Beetje vreemd dat er zo'n groot lek is. Gelukkig koop ik nooit spullen van Apple (heb er behalve de prijs niks tegen nee ;) )
Heeft alleen niet erg veel met Apple te maken. De fout ligt hier imho toch echt bij AT&T :)

Weer een lading Spam voor de founders/CEO's/Presidents en de andere 150.000 adressen :/

Edit: Goatse :X

[Reactie gewijzigd door Torrentus op 10 juni 2010 10:49]

Het is geen lek van Apple maar van AT&T (heb veel tegen Apple, maar dit is ze niet aan te rekenen).
Dat zegt Laudor om aan te geven dat hij ondanks eventuele vooroordelen inziet dat Apple zelf hier niet het probleem was. Dat is een valide statement om zijn uitspraak wat kracht bij te zetten.
Ja, neemt niet weg dat het jammer is dat je voor sommige mensen hier pas geloofwaardig bent als je zegt dat je een hekel aan Apple hebt.
Als je het mij vraagt ben je volgens de meesten pas geloofwaardig als je niet de hele tijd loopt te raaskallen over merken, gebruiksvriendelijkheid en kwaliteit omdat je toevallig iets duurs hebt gekocht wat je om onduidelijke reden moet recht praten, maar waar je alleen maar mee speelt en er verder de ballen verstand van hebt.
Misschien, maar daar doelde ik niet op. Door aan te geven dat je over het algemeen kritisch bent op het product maar niet op dit punt, heeft zo'n uitspraak meer nuance en geloofwaardigheid. Dat heeft niets met fanboyism te maken dat jij er nu bij betrekt.

Zo zal je mij zelf niet snel een Apple zien kopen; het concept sluit absoluut niet aan bij wat ik van een dergelijk product verwacht en de prijs/kwaliteitsverhouding ook niet. Desalniettemin erken ik dat het een mooi doortimmerd concept is en goed aansluit bij de behoefte van anderen. Zeg nu zelf, dat komt toch veel geloofwaardiger over dan dat ik me in het anti-kamp zou scharen omdat ik het zelf toevallig kul-producten vindt waarvoor betere alternatieven bestaan voorzover nodig.

Altijd maar dat eeuwige fanboy en anti-fanboy gedoe. Het lijken wel religies.
Ik heb ook niks tegen Apple behalve de prijs, maar gelukkig heeft dit lek niets met Apple te maken, maar met de beveiliging van AT&T
Het was volgens mij eerder een fout van AT&T dan van Apple.

Ik vraag me af of ze alle mogeljke id's zijn afgegaan of dat ze er al een aantal hadden?
Aangezien de hackers gebruik hebben gemaakt van PHP om aanvragen te doen met een HTTP request zou de ICC-id's crosschecken met de logboeken van de servers die zijn misbruikt.
Dit zie je in de praktijk wel vaker gebeuren, puur omdat de programmeurs geen rekening houden met 'kwade bedoelingen', oftewel dat hun interface ook gebruikt kan worden voor zaken die niet gewenst zijn. Daarbij heeft ook het netwerkbeheer bij AT&T gefaald, want zo'n automatisch script (zonder detection evasion) moet toch flink wat verkeer genereren (114.000 requests van één IP adres doet bij menig bank de alarmbellen rinkelen).
Security by design, dat hebben we nodig, plus gedegen security kennis bij de bouwers van dit soort code.
@mat.hi.as, zo simpel is het niet af te doen. Waarschijnlijk heeft iemand een iPad besteld en in het proces gezien dat een e-mail adres wordt terug gegeven bij invoer van een serienummer (oid). Dat is een interface die nooit naar buiten open had mogen staan, alleen al omdat het e-mail adres (en deels ook het serienummer) privé data is. Dit is geen 'klein foutje' maar het gevolg van een slecht doordacht (of niet aanwezig) applicatieplan.
En dit gebeurt vaker, log maar eens in op wat grotere sites terwijl je een HTTP sniffer open hebt staan (HttpFox, Live HTTP Header e.d.) en je zult schrikken hoeveel unencrypted data er verstuurd wordt, zelfs bij grote gerenomeerde bedrijven, om nog maar te zwijgen van bedrijven die wachtwoorden in plain text opslaan.

[Reactie gewijzigd door Rick2910 op 10 juni 2010 11:01]

Ik neem aan dat ze daar wel rekening mee houden hoor, alleen kan het inderdaad dat er een foutje ontstaat, en dat hackers die vinden.
het e-mail adres (en deels ook het serienummer) privé data is.
Discutabel. E-mail adressen kun je raden, en zelfs als je een emailadres hebt, weet je daarmee niks van de persoon achter het email adres. tenzij je toegang verkrijgt tot de inhoud van de bijbehorende mailbox. Mijn huisadres is ook geen privédata, dat staat gewoon in het telefoonboek (als ik een vaste telefoon had).
Jouw huisadres is wel privé data wanneer deze gekoppeld is aan de aankoop van een iPad (het dievengilde zou dolgraag weten wat ergens te halen valt voordat ze een inbraak plegen). Dat is nou juist het hele punt: losse gegevens zijn niet zo spannend, het is 'het profiel' wat je krijgt als je data gaat koppelen.
Inderdaad maar iemand die een iPad überhaupt heeft aangeschaft kun je wel van uitgaan dat bij zo iemand wel wat te halen valt. Want als ook maar enigszins goed met geld omgaat omdat je er niet veel van heb koop je geen iPad maar een 13" notebook van 400 euro. Dit zal natuurlijk wel weer discutabel zijn maar het feit blijft dat je meer kunt met een 13" notebook dan een iPad. Ik zie de iPad dan ook als een leuke gadget om mee te reizen want in huis kun je je zelf veel beter toegang tot het internet verschaffen zoals internet op de TV en PC/MAC. Als je ook wilt werken en niet alleen vermaak wilt hebben bij het reizen ben je weer beter uit met de 13" notebook.
Dus ja iPad luxe artikel en kun je dat dus associëren met de rijkere huishoudens waar voor inbrekers wel wat te halen valt.
tja maar sommige mensen kiezen voor een paar kwalitatief goede en dus dure spullen, maar hebben dan 2 spijkerbroeken in plaats van 4.
Yey alle software oneindig lang blijven ontwikkelen door overbetaalde beveiligingsexperts. Resultaat is een office van €10 000, een browser voor €1 000 en internet abbo's vanaf €500/maand.

Mensen moeten eens leren dat hun leven niemand interesseert. In een wereld waar niemand waarde hecht aan die gegevens, zal ook niemand interesse hebben om ze te hebben.
Haha dat vind ik toch wat naief. Omdat iemand het (vooraf in theorie) niet erg vindt dat zijn gegevens worden misbruikt, zouden misbruikers er geen moeite voor doen? Jij denkt dat het een beetje stalken en pesten is inplaats van een multi-miljoenen-business met erg schadelijke gevolgen?

En zo moeilijk en duur is security niet hoor, er moet alleen wat meer aandacht aan besteed worden in de opleidingen en bij de softwaremakers (binnen een bedrijf 1 enkel mannetje aannemen met kennis van security kan al voldoende zijn om de rest op het rechte pad te houden).
Twee dingen: 1) security is niet direct moeilijk, zeker niet als er al in het ontwerp rekening mee is gehouden en 2) het kost pas veel geld als het er achteraf ingebouwd moet worden. Dus als dergelijke bedrijven goede plannen maken voor systemen of interfaces, is het grootste obstakel al overwonnen.
Het probleem steekt vaak de kop op als externen onder tijdsdruk iets op moeten leveren. Het feit dat het hier om iPads gaat (zulke pagina's hebben vaak een keiharde deadline (is vaak haastwerk zonder testen), zeker bij zo'n high-impact product) zal er zeker mee te maken hebben.
Mensen moeten eens leren dat hun leven niemand interesseert. In een wereld waar niemand waarde hecht aan die gegevens, zal ook niemand interesse hebben om ze te hebben.
Nou in dat geval zou ik heel graag jouw BSN, volledige naam, adres, geboortedatum, geboorteplaats, bankrekeningnummer, e-mail adres, telefoonnummer en meisjesnaam van je moeder ontvangen. Want wie is daar nou in geďnteresseerd toch? Ik bijvoorbeeld, die daarmee een creditcard op jouw naam aan kan vragen. De reden dat je hier nu nog vrij weinig van ziet gebeuren (identity theft that is) is puur omdat er weinig misbruik van gemaakt wordt, niet dat er geen misbruik kŕn plaatsvinden of dat men niet geďnteresseerd is.

[Reactie gewijzigd door Rick2910 op 10 juni 2010 15:32]

Dat doen ze vrij netjes als ik dat zo mag omschrijven...
Mooi dat ze (waarschijnlijk) niks met die codes kunnen doen, maar wel met die mailadressen natuurlijk.. }>
Zelf een apple fan, maar dit kan natuurlijk nooit apple zijn fout zijn :D
Heb ook een ipad maar dan wel de wifi versie
Als T.net de zwarte balken in de 2 screenshots hebben verzorgd, mag dat wel wat netter gebeuren. Cijfers zijn soms nog te lezen en je hoeft geen Einstein te zijn om van <xxxxxxxx>@bloomberg.com >micheal<@bloomberg.com te maken.

[Reactie gewijzigd door GuidoKuitE op 10 juni 2010 10:59]

het zou ook nog mbloomberg, m.bloomberg, michael.b etc. kunnen zijn :)
overigens zijn de meeste adressen uit het 2de screenshot toch wel algemeen bekend.
Dan moet je toch beter kijken volgens mij, want ik zie blij die bloomberg toch echt een letter onder het zwarte deel uit komen. Zal dus eerder iets zijn als m.bloomberg@....
Daarnaast wil ik weleens weten of jij de exacte cijfers kan achterhalen met behulp van de afbeelding, mij lukt het niet.
alsof <voornaam>@<bedrijf>.<ext> al niet volop aanwezig is in alle spamlijsten :)
De pictures komen zo te zien van Gawker af en dus heeft T.net de zwarte balken niet verzorgt.
met het ID kunnen ze mss niet zo veel doen...
maar met het emailadres vast wel.
Wel raar dat er zo'n lek is ontstaan. Ik koop ook nooit spullen van Apple mij te duur ^^. Maar ik ben wel blij voor de mensen dat het is verholpen.
De hackers verkregen de gegevens door een beveiligingslek bij telecomprovider AT&T.
De fout zit dan ook niet bij Apple maar bij AT&T. Het had net zo goed een Nokia, HTC, Blackberry of Palm, ... kunnen zijn. Maar goede reclame is het natuurlijk niet, weer een zaak waaruit blijkt dat onze privacy & persoonlijke gegevens door nalatigheid & slechte beveiliging te grabbel liggen op het internet. Niet alleen is er dus nog veel werk voor de overheid maar ook voor bedrijven blijkbaar :)

[Reactie gewijzigd door KimG op 10 juni 2010 11:21]

Dan koop je dus spullen van hardware fabrikant X en dan zet je d'r Microsoft software op en dan wordt je gehackt.. da's ook niet echt de oplossing he :)

En verder heeft het niks met apple te maken, behalve dat de abbo's bij AT&T toevallig op de iPad gebruikt worden.


Verder heeft zeiken dat "Apple duur is" totaal geen zin, als je kwaliteit koopt is dat nou eenmaal waardevollder dan goedkope plastic rommel.

Je gaat toch ook niet klagen als je een BMW koopt dat ie duur is? Of dat je Toyota Aygo zo goed is en beter is dan al het andere om dat het 'Niet zo duur is als [betere auto x]'
Zeiken dat Apple betere/andere hardware gebruikt dan de rest heeft ook niet veel zin.
Als BMW een Aygo verkoopt met hun eigen merknaam erop, gaan mensen het ook niet slikken dat hij veel duurder is.
Inderdaad, en helemaal terecht, omdat het dan Aygo hardware is, en niet BMW hardware.
Heeft niks met Apple spullen te maken. AT&T klanten hebben hier last van.
Dit is overduidelijk een fout van de AT&T.
Dit heeft dus niks met apple te maken

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013