Un buco nella sicurezza di AT&T sembra aver messo in pericolo la privacy e la sicurezza dei suoi clienti dotati di un iPad 3G. Tutto per colpa di una funzionalità del sito ufficiale della telco.
In totale almeno 114 mila account sono trapelati tramite esso, e le informazioni confidenziali, potenzialmente di tutti i possessori di un iPad 3G negli Stati Uniti, come indirizzo email e ID della propria SIM card (ICC-ID) con cui sono identificati univocamente nel momento in cui comunicano sulla rete AT&T, divulgati.
Gawker è stato il primo a pubblicare alcune delle informazioni (gli indirizzi trapelati opportunamente oscurati) che afferma di aver ottenuto da un gruppo hacker denominato Goatse Security , che si è accorto della falla e ne ha approfittato: nella lista, tra gli altri, membri del Senato e della Camera, militari, vertici del Dipartimento di Giustizia, della Difesa e della NASA. Ma anche dirigenti Condé Nast, Viacom, Time Warner e News Corp.
La falla sarebbe stata individuata in un programma del sito di AT&T che utilizza uno script per collegare ID (numeri seriali generati sequenzialmente e quindi indovinabili) e email associate ai singoli iPad: la mail viene recuperata nel momento in cui l’ICC-ID effettuava una specifica richiesta via HTTP,e agli hacker è bastato scrivere uno script PHP per automatizzare il processo di richiesta di indirizzi tirando ad indovinare gli ID.
AT&T ha quindi affermato che, una volta venuta a conoscenza della falla (da un cliente dell’azienda e non dal gruppo di hacker che non l’avrebbe contattati), ha provveduto a rimuovere l’opzione incriminata che permetteva di carpire l’email degli utenti . Infine, tutti i clienti la cui email è trapelata sarebbero stati informati dalla telco.
AT&T ha inoltre sottolineato che la sicurezza dei suoi utenti non è stata minacciata, ma lo stesso gruppo che ha individuato la vulnerabilità ha sottolineato che “recenti buchi individuati nello standard GSM rendono possibile intercettazioni e phreaking utilizzando l’ICC ID”. Altri esperti tuttavia hanno negato dirette conseguenze per la sicurezza: in particolare perché le connessioni dati sono solitamente cifrate. Nonostante questo il New York Times avrebbe chiesto al suo staff di non collegarsi alla rete 3G con il proprio iPad fin quando la situazione non sarà completamente chiarita . Inoltre, gli indirizzi trapelati rischiano di essere subissati di spam.
Le principali conseguenze dovrebbero però essere per le relazioni pubbliche di AT&T: unica responsabile della falla, ritardataria nell’informare i clienti in pericolo e già sotto accusa per alcune carenze nel suo servizio di connessione. Mandare una mail (ma solo una ) di lamentele al CEO di AT&T potrebbe sortire gli effetti desiderati: in fondo anche il suo indirizzo di posta è ultimamente divenuto di dominio pubblico, fatto che potrebbe renderlo simpatetico alla causa della protesta.
Claudio Tamburrino