Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Antisec haalt privégegevens 12 miljoen iOS-gebruikers van FBI-laptop'

Hackerscollectief Antisec heeft de udids van een miljoen gebruikers van iOS-apparaten gepubliceerd. Daaronder zijn gegevens van 10.000 Nederlandstaligen. Volgens Antisec stonden de gegevens op de laptop van een FBI-medewerker.

Antisec stelt gegevens van in totaal 12 miljoen iOS-gebruikers te hebben aangetroffen op de laptop van de FBI-medewerker. Daaronder zouden onder meer de unique device identifier zijn, maar ook gebruikersnamen, namen van apparaten, postcodes, telefoonnummers en postadressen. Met de udid kunnen Apple-gebruikers worden geïdentificeerd. De FBI-medewerker zou in maart zijn getroffen door een Java-kwetsbaarheid.

Uit die berg van gegevens besloot Antisec 1 miljoen udids en apparaatnamen op Pastebin te publiceren, naar eigen zeggen uit waarschuwing. Naast de udid en de apparaatnaam publiceert Antisec het push-token, dat kan worden gebruikt om pushberichten naar iOS-gebruikers te sturen. Overige privégegevens zijn door Antisec uit het bestand verwijderd.

Volgens het hackerscollectief is niet duidelijk waarom de privégegevens op de laptop van een FBI-medewerker stonden, maar gaat het mogelijk om een tracking-project. Uit een analyse van Tweakers.net blijkt dat tussen de gepubliceerde gegevens de udids van ruim 10.000 Nederlandstaligen zitten. Daarbij gaat het om apparaten waarbij de apparaatnaam wordt gevolgd door het Nederlandse woord 'van'; het is dus goed mogelijk dat er nog meer Nederlandse udids tussenstaan, van apparaatnamen met een andere structuur. Waarom de FBI over de privégegevens van Nederlanders en Belgen zou beschikken, is onduidelijk.

Volgens Antisec zijn hard-coded user-id's zoals de udids een slecht idee, omdat ze een privacyrisico vormen. Veel applicaties gebruiken de udid om gebruikers te identificeren, en verzenden het unieke identificatienummer bijvoorbeeld naar advertentienetwerken. Overigens heeft Apple al maatregelen genomen om gebruik van de udid door ontwikkelaars uit te bannen.

Door Joost Schellevis

Redacteur

04-09-2012 • 09:48

181 Linkedin Google+

Submitter: flux_w42

Reacties (181)

Wijzig sortering
Doet me een beetje denken aan dit, waar Apple uitzonderlijk laag scoort qua bescherming van de privacy van zijn gebruikers: https://www.eff.org/pages/who-has-your-back/

Daarnaast is het al lang geweten dat Apple gewoon alle verzoeken van de Amerikaanse overheid zonder protest invult, terwijl bv. Google altijd zal kijken of het terecht is (en eventueel zelfs protesteert op de request), daarnaast publiceren ze het nog eens openlijk op hun website: http://www.google.com/transparencyreport/userdatarequests/

Ik vermoed dat er bij Apple veel meer opgevraagd wordt, omdat het zoveel gemakkelijker is en het proces (zoals gewoonlijk) niet transparant gebeurd voor de eindgebruiker.

En voor diegenen die roepen, Google is een advertentiebedrijf en ...

Google wordt idd gecontroleerd op zijn acties qua advertenties, maar Apple en Microsoft zijn ook advertentiebedrijven (Microsoft AdCenter en iAd), maar zij worden er gewoon niet voor gecontroleerd, omdat het niet hun hoofdinkomst is.

PS. De enigste reden waarom Apple de udid uitschakelt is om concurrentie qua advertenties uit te schakelen op hun platform, Apple wordt dan de enigste die hun gebruikers kan tracken.

De database van andere bedrijven wordt dan volledig nutteloos, omdat deze niet meer geldig is.

= een monopolie voor Apple, zonder enige mogelijke concurrentie = meer geld voor Apple, dat zijn iAd platform niet van de grond krijgt.

Edit: Als Google akkoord gaat met een request, dan moeten ze idd. de data afgeven, net als alle anderen (die dat automatisch doen). Maar er zit tenminste een vorm van filtering in... De url bovenaan toont ook daadwerkelijk aan dat ze data afgeven, maar ze zijn er tenminste open en transparanter over dan al de rest, die zich hult in stilzwijgen.

[Reactie gewijzigd door NicoJuicy op 4 september 2012 10:29]

De Patriot Act geeft de FBI de mogelijkheid een "National Security Letter" uit te vaardigen die expliciet de ontvanger verbiedt het bevel te onthullen. Hiermee is het dus ondermeer ook verboden voor bedrijven en/of instituties cijfers naar buiten te brengen wat betreft het aantal "Patriot Act verzoeken" die ze krijgen. Het weigeren van zo'n verzoek is niet aan de oorde aangezien dat een misdrijf is in de USA.

Openheid op het gebied van Google of Apple wat betreft informatie verzoeken gaan alleen over "normale" verzoeken en zijn niet relevant voor wat betreft de Patriot Act.

bronnen:
http://www.hostingrecht.n...eem-voor-cloudgebruikers/
https://en.wikipedia.org/wiki/National_Security_Letter
Google altijd zal kijken of het terecht is (en eventueel zelfs protesteert op de request), daarnaast publiceren ze het nog eens openlijk op hun website: http://www.google.com/transparencyreport/userdatarequests/
Je hebt de nieuwe voorwaarden van Google wel goed doorgelezen dan? Waarin dus staat dat ze zonder pardon gegevens doorgeven aan overheidsinstanties. Inclusief je IMEI/MAC, wie je gebeld hebt, wat je CC is, welke telefoonnummers je in je contactenlijst hebt staan en ga zo maar door.

http://www.privacyguru.nl/2012/02/google-2/
En iedereen verklaart me paranoide als ik zeg dat ik het vervelend vind dat telco's bijhouden waar ik ben en die data 2 jaar bewaren. Dat gecombineerd met deze informatie is een hele leuke manier om mensen te tracken.

Het enige dat Orwell niet voorzag is dat de overheid geen camera's in onze woonkamer zou installeren, maar dat we ze zelf zouden kopen.
Voor de mensen die willen bekijken of ze erop staan, er is een tool: http://kimosabe.net/test.html

bron: http://fredericjacobs.com/identifying-the-traitor
De patriot act maakt het mogelijk voor de Amerikaanse overheid om legaal alle gegevens in het bezit van Amerikaanse bedrijven in te zien zonder dat daar een aanvraag voor bij de rechter langskomt. Dus jammer genoeg mag dit wel en kunnen wij daar als gebruikers niks aan doen.
Je kan je iPad aansluiten op je mac, iTunes starten en dan klikken onder de tekstregel waar je software versie staat.
dan zie je de IMEI, Serialnumber en UDID
Even op de pagina dan maar voor diegene die het ook willen weten:

- Open 'terminal'
- Paste de volgende commando:

openssl aes-256-cbc -d -a -in Rxdzz.txt -out decryptedfile.tar.gz

- Er word gevraagd om een password 'enter aes-256-cbc decryption password:'. Vul de volgende password in (copy/paste):
*knip*

- Unpack het bestand met het volgende commando:

tar -xvzf decryptedfile.tar.gzx iphonelist.txt

- Check voor de zekerheid of de MD5 overeenkomt met
*knip*

md5 iphonelist.txt

Open het bestand iphonelist.txt :)

Zoek in bestand naar de naam van je iPhone/iPad. Om zeker te zijn zoek je naar je UDID.

Sluit je iPhone (of hetgeen wat jij denkt wat in het text bestand staat) op je machine aan en open iTunes. Op de summary pagina staat het serienummer. Als je daar op klikt komt er de UDID te staan. Copy die naar je clipboard en zoek in het text bestand.

*Alle directe informatie over de bestanden verwijderd*

[Reactie gewijzigd door Dirk op 4 september 2012 13:06]

Bij full disk encryption had ie er volgens mij nog niet veel aan. Het stond op zijn bureaublad en dus wellicht gewoon toegankelijk tijdens de remote hack. Alleen als ie de file zelf had versleuteld én op het moment van gehackt worden niet in onversleutelde toestand benaderbaar was dan was ie safe. Met encryption alleen ben je er nog niet.
Het bestand is 136MB groot. Alleen het openen van een 136MB TXT bestand is al een uitdaging. Bij het pasten hangt mijn Safari helaas.

In het TXT bestand staan de namen die je men gegeven hebt aan de device. Dus er staat 'Pietjes iPhone'. Om zeker te zijn dat het om jouw iPhone/iPad whatever gaat is het beste om de UUID te controleren. Dit kan je als volgt doen:

Sluit je iPhone (of hetgeen wat jij denkt wat in het text bestand staat) op je machine aan en open iTunes. Op de summary pagina staat het serienummer. Als je daar op klikt komt er de UDID te staan. Copy die naar je clipboard en zoek in het text bestand.
Nogmaals: antisec heeft de 'echt' persoonlijke gegevens eruit gehaald. Dus geen telefoonummers, adressen, etcetera.
Alleen twee soorten id's, user-ingestelde apparaatnaam en apparaattype.
Voorbeeld van een regel:
'3987016817a276609aff751c18b078fa721c201e',
'26d7934e7e088196d36e301b223fb6c1e46f51d2ea8b91d4c75a9b0f908d35bb',
'iPhone van Eric','iPhone'
Maar inderdaad: zoeken (en tellen) op "iPhone van" en "iPad van" en je weet al haast zeker dat dat Nederlandstaligen zijn.

Even doorheen gescrolld en "bekende" namen die ik tegenkom zijn o.a. Andre Kuipers, Richard Witschge, Ronnie Tober.
Hoopte een politicus tegen te komen, maar die heb ik nog geen gevonden.

[Reactie gewijzigd door HyperioN op 4 september 2012 23:05]

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True