Falla iPad 3G: AT&T si scusa e dà la colpa agli hacker (che rispondono)

di Andrea "C. Miller" Nepori 1

Domenica sera l’operatore statunitense AT&T ha inviato una mail di “scuse” a tutti i clienti possessori di un contratto dati per iPad 3G dopo la rivelazione pubblica da parte di Gawker di una grave falla sul sito del carrier che ha permesso la raccolta delle email di almeno 114.000 acquirenti del dispositivo.

Nella email AT&T dà la colpa del problema ad “hacker malevoli” che hanno forzato un sistema pensato solo per facilitare l’utilizzo dei servizi online da parte dei clienti. I cosiddetti hacker sarebbero in realtà gli esperti della Goatse Security, una firm che si occupa di sicurezza e che, pur dimostrando pessimo gusto quanto a scelta della propria ragione sociale, non ci sta a vedersi bollata a quel modo dal gigante dalla telefonia.

Il carrier statunitense ha cercato comprensibilmente di minimizzare la portata della breccia, ma se è vero che gli unici dati trafugati sono gli ICC-ID delle micro-SIM e il corrispondente indirizzo email, è altresì innegabile che AT&T ha permesso l’esistenza di una falla enorme nel proprio sistema.

Il CEO di Goatse Security, tale Escher Auernheimer, ha risposto con un lungo e dettagliato articolo alla email di AT&T spiegando che la sua azienda non ha messo a repentaglio i dati di nessuno e che soprattutto per raccogliere le email dei clienti non è stata forzata alcuna protezione. Gli indirizzi erano disponibili su un webserver non criptato, accessibile e solamente “nascosto” alla vista del navigatore comune.

Agli “hacker” è bastato usare dei codici ICC-ID generati a caso per riuscire in poco tempo a raccogliere tantissimi indirizzi email ad essi associati. Il sistema fallato di AT&T li forniva automaticamente e in chiaro in risposta alle connessioni http lanciate dallo script.

In particolar modo la Goatse Security contesta ad AT&T la pessima gestione del “fallout” nelle ore successive alla riparazione della falla, avvenuta giovedì prima che Ryan Tate pubblicasse il proprio articolo su Gawker.

“AT&T aveva tutto il tempo di informare il pubblico prima della rivelazione della falla. Non è stato fatto. Dopo la chiusura della falla, la rivelazione del problema deve essere immediata, nel giro di un’ora. Non è accettabile che avvenga giorni dopo,” scrive Auernheimer. “E’ teoricamente possibile che nel giro di un giorno (in particolar modo dopo che un buco viene chiuso) un organizzazione criminale possa decidere di usare un vecchio dataset per aggirare gli utenti prima che essi possano essere informati circa la vulnerabilità.”

[via]