AT&T si lascia scappare l'email dei suoi utenti iPad 3G

Si tratta della più grande falla di sicurezza riguardante Apple avvenuta finora. È stata sottratta a AT&T, l’operatore telefonico esclusivista per iPad negli USA, la lista delle mail dei numerosi utenti di iPad 3G.

La falla di sicurezza era apparentemente enorme. Il gruppo Goatse Security, responsabile dell’azione, ha usato uno script di AT&T disponibile liberamente in rete, per farsi rivelare gli indirizzi email collegati agli ICC-ID dei dispositivi. Gli ICC-ID corrispondono agli “integrated circuit card identifier”, un numero che identifica univocamente i circuiti integrati. Lo script rivela semplicemente l’email associata al ICC-ID, fornito sotto forma di una richiesta HTTP.

Si pensa che le email rubate siano 114.067, tutte corrispondenti all’apparente lunga lista di primi esclusivi utenti dell’iPad, dato che l’exploit sembra essere avvenuto a fine aprile. Per una curiosa coincidenza, questa falla nella sicurezza legata a un prodotto Apple è stata sfruttata circa una settimana dopo che il prototipo di un iPhone 4 fu rinvenuto da uno studente in un bar di Redwood. D’altra parte gli utenti italiani non sono toccati da questo evento, dato che si tratta unicamente degli abbonati al carrier americano AT&T.

Tra gli indirizzi di posta elettronica trafugati vi sono numerosi nomi celebri. Appaiono nella lista rappresentanti del mondo dell’editoria, della politica e del settore della difesa. Spiccano i nomi di Janet Robinson (direttrice del New York Times), Ann Moore (direttrice di Times inc.), Les Hinton (CEO di Down Jones), Michael Bloomberg (fondatore di Bloomberg LP), Harvey Weinstein (fondatore di Weinstein Co.), col. William Eldredge (comandante del maggiore gruppo operativo di B-1 della U.S. Air Force), ecc…

AT&T ha confermato la fuga di notizie in un comunicato stampa. La compagnia telefonica americana si difende, assicurando che gli hacker non si sono messi in contatto con AT&T, mentre il gruppo Goatse smentisce. Ed Amoroso, il responsabile della sicurezza di AT&T, in un’intervista a Gizmodo dice che il bug che ha permesso la perdita delle email degli utenti è stato disabilitato lo scorso giovedì. Amoroso tenta di riassicurare i suoi abbonati, ma traspare una notevole incapacità del carrier statunitense nel gestire i dati privati degli utenti.

Come se non bastasse, una nota ironica accompagna l’intero episodio. Il CEO di AT&T, Randall Stephenson, ha dato una conferenza ieri a IBM. L’argomento della comunicazione verteva essenzialmente sulla privacy e la sicurezza informatica. Stephenson, fra le altre cose, ha detto: “Se perdete la fiducia dei clienti sulla privacy… sarà dura riacquistarla“.

[Via Gawker]