Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Submitter: FvdM

Gegevens van 114.000 mensen die een iPad 3G hebben gekocht zijn in handen van hackers gevallen. De hackers verkregen de gegevens door een beveiligingslek bij telecomprovider AT&T. De provider heeft het voorval bevestigd.

Bij de 114.000 bestellingen waarvan de gegevens werden buitgemaakt zitten orders van Amerikaanse politici, militaire organisaties en ceo's van bedrijven, zo meldt Gawker. De hackers, een groep die zichzelf Goatse Security noemt, verkregen e-mailadressen met daaraan gekoppeld een zogenaamd ICC-id, waarmee de bestelde iPad zich op het netwerk van AT&T kan identificeren. Op een http-request, met daarin een ICC-id en een user agent-profiel van de iPad, stuurde de server van AT&T het bijbehorende e-mailadres terug. Met behulp van een php-script werd het versturen van requests naar de server geautomatiseerd, waarna gegevens van meer dan honderdduizend iPad-orders in handen van de hack-groep vielen.

AT&T heeft inmiddels het beveilingslek verholpen. Aan Gawker meldt de provider zich voor de hack te verontschuldigen. AT&T gaat klanten waarvan het ICC-id en het e-mailadres zijn buitgemaakt op de hoogte stellen. Waarschijnlijk kunnen de hackers niet veel met het ICC-id; het is wellicht mogelijk om er een apparaat mee te spoofen om zo data te onderscheppen, maar de encryptie op dataverbindingen zou ervoor moeten zorgen dat dit niet zomaar mogelijk is.

iPad-order leak iPad-order leak

Reacties (77)

Reactiefilter:-177070+128+23+30
Moderatie-faq Wijzig weergave
Dit zie je in de praktijk wel vaker gebeuren, puur omdat de programmeurs geen rekening houden met 'kwade bedoelingen', oftewel dat hun interface ook gebruikt kan worden voor zaken die niet gewenst zijn. Daarbij heeft ook het netwerkbeheer bij AT&T gefaald, want zo'n automatisch script (zonder detection evasion) moet toch flink wat verkeer genereren (114.000 requests van één IP adres doet bij menig bank de alarmbellen rinkelen).
Security by design, dat hebben we nodig, plus gedegen security kennis bij de bouwers van dit soort code.
@mat.hi.as, zo simpel is het niet af te doen. Waarschijnlijk heeft iemand een iPad besteld en in het proces gezien dat een e-mail adres wordt terug gegeven bij invoer van een serienummer (oid). Dat is een interface die nooit naar buiten open had mogen staan, alleen al omdat het e-mail adres (en deels ook het serienummer) privé data is. Dit is geen 'klein foutje' maar het gevolg van een slecht doordacht (of niet aanwezig) applicatieplan.
En dit gebeurt vaker, log maar eens in op wat grotere sites terwijl je een HTTP sniffer open hebt staan (HttpFox, Live HTTP Header e.d.) en je zult schrikken hoeveel unencrypted data er verstuurd wordt, zelfs bij grote gerenomeerde bedrijven, om nog maar te zwijgen van bedrijven die wachtwoorden in plain text opslaan.

[Reactie gewijzigd door Rick2910 op 10 juni 2010 11:01]

het e-mail adres (en deels ook het serienummer) privé data is.
Discutabel. E-mail adressen kun je raden, en zelfs als je een emailadres hebt, weet je daarmee niks van de persoon achter het email adres. tenzij je toegang verkrijgt tot de inhoud van de bijbehorende mailbox. Mijn huisadres is ook geen privédata, dat staat gewoon in het telefoonboek (als ik een vaste telefoon had).
Jouw huisadres is wel privé data wanneer deze gekoppeld is aan de aankoop van een iPad (het dievengilde zou dolgraag weten wat ergens te halen valt voordat ze een inbraak plegen). Dat is nou juist het hele punt: losse gegevens zijn niet zo spannend, het is 'het profiel' wat je krijgt als je data gaat koppelen.
Inderdaad maar iemand die een iPad überhaupt heeft aangeschaft kun je wel van uitgaan dat bij zo iemand wel wat te halen valt. Want als ook maar enigszins goed met geld omgaat omdat je er niet veel van heb koop je geen iPad maar een 13" notebook van 400 euro. Dit zal natuurlijk wel weer discutabel zijn maar het feit blijft dat je meer kunt met een 13" notebook dan een iPad. Ik zie de iPad dan ook als een leuke gadget om mee te reizen want in huis kun je je zelf veel beter toegang tot het internet verschaffen zoals internet op de TV en PC/MAC. Als je ook wilt werken en niet alleen vermaak wilt hebben bij het reizen ben je weer beter uit met de 13" notebook.
Dus ja iPad luxe artikel en kun je dat dus associëren met de rijkere huishoudens waar voor inbrekers wel wat te halen valt.
tja maar sommige mensen kiezen voor een paar kwalitatief goede en dus dure spullen, maar hebben dan 2 spijkerbroeken in plaats van 4.
Ik neem aan dat ze daar wel rekening mee houden hoor, alleen kan het inderdaad dat er een foutje ontstaat, en dat hackers die vinden.
Yey alle software oneindig lang blijven ontwikkelen door overbetaalde beveiligingsexperts. Resultaat is een office van €10 000, een browser voor €1 000 en internet abbo's vanaf €500/maand.

Mensen moeten eens leren dat hun leven niemand interesseert. In een wereld waar niemand waarde hecht aan die gegevens, zal ook niemand interesse hebben om ze te hebben.
Haha dat vind ik toch wat naief. Omdat iemand het (vooraf in theorie) niet erg vindt dat zijn gegevens worden misbruikt, zouden misbruikers er geen moeite voor doen? Jij denkt dat het een beetje stalken en pesten is inplaats van een multi-miljoenen-business met erg schadelijke gevolgen?

En zo moeilijk en duur is security niet hoor, er moet alleen wat meer aandacht aan besteed worden in de opleidingen en bij de softwaremakers (binnen een bedrijf 1 enkel mannetje aannemen met kennis van security kan al voldoende zijn om de rest op het rechte pad te houden).
Twee dingen: 1) security is niet direct moeilijk, zeker niet als er al in het ontwerp rekening mee is gehouden en 2) het kost pas veel geld als het er achteraf ingebouwd moet worden. Dus als dergelijke bedrijven goede plannen maken voor systemen of interfaces, is het grootste obstakel al overwonnen.
Het probleem steekt vaak de kop op als externen onder tijdsdruk iets op moeten leveren. Het feit dat het hier om iPads gaat (zulke pagina's hebben vaak een keiharde deadline (is vaak haastwerk zonder testen), zeker bij zo'n high-impact product) zal er zeker mee te maken hebben.
Mensen moeten eens leren dat hun leven niemand interesseert. In een wereld waar niemand waarde hecht aan die gegevens, zal ook niemand interesse hebben om ze te hebben.
Nou in dat geval zou ik heel graag jouw BSN, volledige naam, adres, geboortedatum, geboorteplaats, bankrekeningnummer, e-mail adres, telefoonnummer en meisjesnaam van je moeder ontvangen. Want wie is daar nou in geïnteresseerd toch? Ik bijvoorbeeld, die daarmee een creditcard op jouw naam aan kan vragen. De reden dat je hier nu nog vrij weinig van ziet gebeuren (identity theft that is) is puur omdat er weinig misbruik van gemaakt wordt, niet dat er geen misbruik kàn plaatsvinden of dat men niet geïnteresseerd is.

[Reactie gewijzigd door Rick2910 op 10 juni 2010 15:32]

Waarom zegt iedereen hier dat het AT&T zijn fout is?

Waarom vraagt niemand zicht af waarom die iPad's eigenlijk dat ICC-id moeten meesturen om zich kenbaar te maken op dat netwerk en dan vooral via http-requests?

Oke AT&T is dom om als antwoord op elke request met zo'n ICC-id het daaraan gelinkte mailadres terug te sturen, zelfs als die request niet vanaf zijn eigen netwerk komt, maar de fout zit vooral bij de iPad dat ie zulk ICC-id uitstuurt.

Dit had ook kunnen gebeuren vanuit een toestel met zelfgebakken rom dat zich zo kenbaar maakt op dat netwerk of gejailbroken iPad's waarbij dat vrij geconfigureerd kan worden. (zeker als AT&T er bv ook een data-trafiek-meter aagekoppeld heeft enzo)

Zelfs als er geen koppeling naar het mailadres naar de besteller/eigenaar mogelijk zou zijn, zie ik hierin een serieuse privacy-inbreuk. Wellicht is niemand ervan op de hoogte gesteld dat zijn/haar iPAD zich steeds herkenbaar zou maken met een volledig eigen ICC-id in elke http-request... Waardoor perfect mogelijk is dat de provider (hier nu AT&T) perfect kan zien _waar_ en _wanneer_ men online gaat met zijn/haar 'always on' iPad.
En dat in een land waarbij geen enkele search-engine de ip-adressen langer dan enkele maanden mag bijhouden. (terwijl die adressen niet noodzakelijk steeds naar dezelfde machine verwijzen)
Ik zie aanklachten gebeuren richting AT&T wegens het zomaar teruggeven van dat mailadres, en richting Apple wegens dat uniek ICC-id dat die iPad uitstuurt bij een http-request.

Van die hackergroep is het gewoon een bruteforce aanval geweest
httprequest met ICC-id 1111111 - no reply
request met ICC-id 1111112 - reply mailadres
... door iedereen met wat kennis te scripten op 5minuten.
(ook weer de fout dat AT&T vele requests met verschillende ICC-id's vanaf 1 (of een beperkt aantal) IP-adres(-sen) binnen een wellicht zeer korte tijdspanne. En anders een mooie toepassing van een botnetje geweest: geen kraak, geen inbraak in de database, misschien even een iek in request en traffic veroorzaakt, ... :-) )

Ik ben in ieder geval blij dat ik niet in die marketing-machine trap en al zeker geen early-adaptor ben van zoiets.

en ps: de mensen die denken dat hiermee niets kan gebeuren: denk eens na over bv facebook: daar wilt men ook maar dat je meer privacy opgeeft zodat zij meer geld kunnen verdienen omdat anderen je dan beter in 'kastjes' kunnen steken voor gerichte marketing doeleinden... (of we zien je forumpost over dit en een paar maanden wel verschijnen: "mijn leven is om zeep omdat een chinees met identiteit gestolen heeft. wat nu?")
Met die lijst van mailadressen kunnen naar de medewerkers van de betreffende firma's al zeer doelgerichte phishingmails gestuurd worden. afkomstig van het mailadres van de baas 'vanaf zijn iPad, via een netwerk in china ofzo'...

[Reactie gewijzigd door soulrider op 10 juni 2010 23:28]

Wow dat is toch wel een vrij vors lek. Ook de aantallen zijn erg groot gezien het aantal verkochte iPads.
Gelukkig opgelost, maar dit zou toch niet moeten kunnen?

ps: Was al even bang, heb zelf een reguliere iPad, en had al zoiets van hoe kunnen ze dat nou onderscheppen. Was ff de 3G vergeten
De fout ligt dus helemaal puur bij AT&T. Het is niet zo dat de 3G-ipads gehacked zijn of zo.

En wat hebben ze daarna? Een lijstje met emailadresssen...

In principe hetzelfde mogelijke "lek" als een bepaalde nieuwsgroepenprovider die een klantnummer als username en de postcode als wachtwoord heeft.
Dus als je weet dat op een postcode iemand een abbo heeft, kan je gewoon een hoop nummers uitproberen om in te loggen. Niet dat ik dat geprobeerd heb of zo hoor.
Hmm AT&T had al niet een beste naam binnen de VS maar nu zal dat helemaal afzakken. En ook misschien wel binnen Apple.
Hangt er vanaf hoeveel AT&T voor de volgende iPhone wil betalen. AT&T heeft met de iPhones al zoveel geblunderd dat het echt verwonderd dat Apple ze nog niet gedumpt heeft.
Volgens mij kun je dit niet eens een Hack noemen, aangezien het gewoon een slecht stukje afgewerkt programeerwerk bij AT&T is.

Slechte scripts die een lek veroorzaken zie je zo vaak op de heden dag....


@offtopic

Even een vraagje over het bedrijf AT&T,

zijn ze in VS het enigste telecom bedrijf ofzo? aangezien het altijd over AT&T gaat en je nooit eens een deal of iets hoord van een ander bedrijf.

Voorzover ik weet hebben ze daarnaast een supper belabberd netwerk dat zo overbelast is dat geen mens vaak kan bellen.

Waarom hoor je dus alleen van dit bedrijf, alsof ze in de VS de enigste zijn ofzo?

[Reactie gewijzigd door mmjjb op 10 juni 2010 12:12]

AT&T is een echte telecomreus in de US.
Hoge bomen vangen veel wind.

Maar AT&T heeft ook heel wat afdelingen in europe.
Daar leveren ze diensten en zijn ze reseller voor telecommunicatielijnen en services.

Ik heb er vroeger (2003-2004) ook mee geconfronteerd geweest.
Mijn huidige werkgever was daar klant toen ik daar starte.

Héél héél veel miserie ;(
Support desk zat in Engeland en sprak maar gebrekkig Engels.
Facturatie zat in Bratislava.
Een deel zat ook niet in Frankrijk.

Het was een zooi.

Een van de eerste zaken wat ik deed was de migratie voorbereiden.
Nooit meer AT&T.

Als de Amerikaanse diensten in dezelfde lijn liggen, dan verwonderd dit me niet ... :+
Goed gevonden lek van de hackers. Ook een leuke naam. :9
"de encryptie op dataverbindingen zou ervoor moeten zorgen dat dit niet zomaar mogelijk is."
Niet zomaar mogelijk nee. Maar waarschijnlijk wel te doen.
Wat ik er van begrijp is dat AT&T die adressenlijst per ongeluk online heeft laten staan. Daarnaast hebben ze nog een fout begaan door requests te beantwoorden die gericht zijn aan toestellen die nog in bestelling zijn. Je zou bijna denken dat ze het er om doen.
Goh. Ik ben benieuwd of Apple, nu er meer producten van hen komen en bekendheid hun kant op waait, de mythe over veiligheid en Apple wel vol kunnen blijven houden. Of dat hun imago toch schade op gaat lopen door al dit soort dingen.

Ik ben benieuwd of hun veiligheid net zo goed blijkt te zijn als die van MS als er net zoveel producten in zo'n lange periode gebruikt worden als bij MS het geval is. Of dat het dan toch allemaal een wassen neus blijkt te zijn.

Ik wens ze het beste.
Goh. Ik ben benieuwd of Apple, nu er meer producten van hen komen en bekendheid hun kant op waait, de mythe over veiligheid en Apple wel vol kunnen blijven houden. Of dat hun imago toch schade op gaat lopen door al dit soort dingen.
Uhm, dit heeft niets met Apple of onveiligheid te maken. AT&T is gehacked, en daarbij zijn de gegevens van iPad klanten buit gemaakt.

Natuurlijk zijn Apple producten te hacken, alles is te hacken als je er maar voldoende energie tegenaan smijt. Alleen is het in principe op iets als Mac OS X een stuk moeilijker om mee te beginnen, omdat de hele kern en basis van het OS anders is. Maar onfeilbaar is niets en niemand.
Als T.net de zwarte balken in de 2 screenshots hebben verzorgd, mag dat wel wat netter gebeuren. Cijfers zijn soms nog te lezen en je hoeft geen Einstein te zijn om van <xxxxxxxx>@bloomberg.com >micheal<@bloomberg.com te maken.

[Reactie gewijzigd door GuidoKuitE op 10 juni 2010 10:59]

Dan moet je toch beter kijken volgens mij, want ik zie blij die bloomberg toch echt een letter onder het zwarte deel uit komen. Zal dus eerder iets zijn als m.bloomberg@....
Daarnaast wil ik weleens weten of jij de exacte cijfers kan achterhalen met behulp van de afbeelding, mij lukt het niet.
De pictures komen zo te zien van Gawker af en dus heeft T.net de zwarte balken niet verzorgt.
het zou ook nog mbloomberg, m.bloomberg, michael.b etc. kunnen zijn :)
overigens zijn de meeste adressen uit het 2de screenshot toch wel algemeen bekend.
alsof <voornaam>@<bedrijf>.<ext> al niet volop aanwezig is in alle spamlijsten :)
Dat doen ze vrij netjes als ik dat zo mag omschrijven...
Mooi dat ze (waarschijnlijk) niks met die codes kunnen doen, maar wel met die mailadressen natuurlijk.. }>
met het ID kunnen ze mss niet zo veel doen...
maar met het emailadres vast wel.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Ibood hunt

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True