Waarom zegt iedereen hier dat het AT&T zijn fout is?
Waarom vraagt niemand zicht af waarom die iPad's eigenlijk dat ICC-id moeten meesturen om zich kenbaar te maken op dat netwerk en dan vooral via http-requests?
Oke AT&T is dom om als antwoord op elke request met zo'n ICC-id het daaraan gelinkte mailadres terug te sturen, zelfs als die request niet vanaf zijn eigen netwerk komt, maar de fout zit vooral bij de iPad dat ie zulk ICC-id uitstuurt.
Dit had ook kunnen gebeuren vanuit een toestel met zelfgebakken rom dat zich zo kenbaar maakt op dat netwerk of gejailbroken iPad's waarbij dat vrij geconfigureerd kan worden. (zeker als AT&T er bv ook een data-trafiek-meter aagekoppeld heeft enzo)
Zelfs als er geen koppeling naar het mailadres naar de besteller/eigenaar mogelijk zou zijn, zie ik hierin een serieuse privacy-inbreuk. Wellicht is niemand ervan op de hoogte gesteld dat zijn/haar iPAD zich steeds herkenbaar zou maken met een volledig eigen ICC-id in elke http-request... Waardoor perfect mogelijk is dat de provider (hier nu AT&T) perfect kan zien _waar_ en _wanneer_ men online gaat met zijn/haar 'always on' iPad.
En dat in een land waarbij geen enkele search-engine de ip-adressen langer dan enkele maanden mag bijhouden. (terwijl die adressen niet noodzakelijk steeds naar dezelfde machine verwijzen)
Ik zie aanklachten gebeuren richting AT&T wegens het zomaar teruggeven van dat mailadres, en richting Apple wegens dat uniek ICC-id dat die iPad uitstuurt bij een http-request.
Van die hackergroep is het gewoon een bruteforce aanval geweest
httprequest met ICC-id 1111111 - no reply
request met ICC-id 1111112 - reply mailadres
... door iedereen met wat kennis te scripten op 5minuten.
(ook weer de fout dat AT&T vele requests met verschillende ICC-id's vanaf 1 (of een beperkt aantal) IP-adres(-sen) binnen een wellicht zeer korte tijdspanne. En anders een mooie toepassing van een botnetje geweest: geen kraak, geen inbraak in de database, misschien even een iek in request en traffic veroorzaakt, ... :-) )
Ik ben in ieder geval blij dat ik niet in die marketing-machine trap en al zeker geen early-adaptor ben van zoiets.
en ps: de mensen die denken dat hiermee niets kan gebeuren: denk eens na over bv facebook: daar wilt men ook maar dat je meer privacy opgeeft zodat zij meer geld kunnen verdienen omdat anderen je dan beter in 'kastjes' kunnen steken voor gerichte marketing doeleinden... (of we zien je forumpost over dit en een paar maanden wel verschijnen: "mijn leven is om zeep omdat een chinees met identiteit gestolen heeft. wat nu?")
Met die lijst van mailadressen kunnen naar de medewerkers van de betreffende firma's al zeer doelgerichte phishingmails gestuurd worden. afkomstig van het mailadres van de baas 'vanaf zijn iPad, via een netwerk in china ofzo'...
[Reactie gewijzigd door soulrider op 22 juli 2024 15:37]