Figuraccia AT&T: falla espone le email degli utenti di iPad 3G

di Andrea "C. Miller" Nepori 5

A quelli di Gawker proprio non è andata giù di non essere stati invitati al WWDC 2010 dopo aver comprato un prototipo di iPhone e ricattato Apple per avere la certezza dell’autenticità del dispositivo. E’ così che uno scivolone bello grosso di AT&T, una falla di sicurezza del sito del carrier che ha esposto al “pubblico ludibrio” 114.000 indirizzi email dei primi acquirenti di iPad 3G con annesso piano tariffario dell’operatore, nel titolone di Valleywag diventa tutta colpa di Apple.

Screzi a parte, il problema evidenziato da Gawker e scoperto da una cricca di esperti che si fa chiamare Goatse Security (con chiaro riferimento ad un vomitevole meme internettiano) è abbastanza serio. La falla ha permesso di raccogliere, grazie ad uno script, un gran numero di indirizzi email privati associandoli all’ICC-ID dell’utente (codice indentificativo della SIM).

Ryan Tate di Valleywag, autore dello scoop, ha individuato fra i nomi raccolti anche alcuni pezzi grossi di Washington, grandi imprenditori, dipendenti ed executives del settore della difesa e della finanza. Rahm Emanuel, Chief of Staff della Casa Bianca, è fra questi, così come Harvey Weinstein, notissimo (e ricchissimo) imprenditore americano o Michael Bloomberg, il sindaco di New york.

L’articolo che documenta lo scoop sembra mirato principalmente a bastonare Apple per un’idiozia commessa da AT&T che non a raccontare i fatti come stanno. Leggendo il pezzo monstre e scremandolo dei commenti sul modo in cui questo scivolone impatterà sicuramente sull’immagine dell’iPad e comprometterà senza dubbio i rapporti fra Apple e AT&T, si riesce a intuire fra le righe che cosa è successo davvero.

Per farla breve: gli hacker della Goatse Security si sono accorti che inserendo un ICC-ID in una richiesta HTTP sul sito di AT&T era possibile ottenere in risposta l’indirizzo email dell’utente cui quel codice è associato. Lo script era probabilmente utilizzato per gestire un form web destinato all’uso da parte di un utente registrato. Trovati una serie di ICC-ID, ricostruendoli da alcuni codici noti (immaginiamo con un reverse engineering dell’algoritmo di generazione di questi codici, l’articolo non lo specifica), gli smanettoni hanno proceduto alla raccolta di un gran numero di indirizzi email attraverso uno script PHP che ha automatizzato il meccanismo.

Risultato: pagine e pagine di ICC-ID (scoperti a priori però, e questo Tate non ci tiene a specificarlo) associati ad indirizzi email ben profilati che potrebbero far gola a spammers e simili. AT&T è già stata avvisata del problema e ha provveduto a tappare la falla.

Tutta la questione si risolve in un trafugamento di email associate ad ICC-ID, insomma. Non sono stati rubati veri dati sensibili e secondo la maggioranza degli esperti (che ovviamente l’articolo cita solo in un piccolo paragrafo in fondo) con gli ICC-ID non ci si può fare praticamente nulla di malevolo.

Figuraccia per il carrier , senza dubbio, ma nuova figuraccia anche per Gawker, che in nome della “inimicizia” con Apple decide di pubblicare un pezzo che di fatto aggrava e mistifica il problema per darne la colpa a Cupertino. L’unica colpa di Apple, va riconosciuto, è di non essersi ancora riuscita a liberare del peso morto chiamato AT&T, vera spina nel fianco degli iUtenti americani.