AT&T gibt E-Mail-Adressen von 114.000 iPad-Besitzern preis
Über eine AJAX-Schnittstelle auf Webservern des Telecom-Anbieters ließen sich die E-Mail-Adressen der Besitzer abfragen. Eine Hackergruppe nutzte ein Skript, um automatisch eine Liste zu erstellen. Darin findet sich viel Prominenz aus Wirtschaft, Medien und Politik.
- Daniel Bachfeld
Hackern ist es gelungen, durch eine Schwachstelle auf einem Webserver des US-Netzbetreibers AT&T an die E-Mail-Adressen von mehr als hundertttausend iPad-Besitzern zu gelangen. Das berichten die Betreiber des US-Blogs Valleywag. Dem Bericht zufolge finden sich zahlreiche prominente "Early Adopters" in der Liste, wie führende Mitarbeiter großer Medienunternehmen, Politiker, Wirtschaftsführer, Wissenschaftler und sogar der Befehlshaber der größten B1-Bomberstaffel William Eldridge.
Dass den iPad-Besitzern nun vermehrt Spam- und Viren-Mails ins Haus flattert, ist unwahrscheinlich, da die Hackergruppe Goatse Security die Liste nicht veröffentlicht haben soll; zudem soll AT&T die Lücke geschlossen haben. Allerdings wirft dies ein weiteres schlechtes Licht auf den Branchenriesen, der aktuell schon wegen seiner Preispolitik und seinem schlechten Service in der Kritik von US-Verbrauchern steht. AT&T hat die Lücke zwar offiziell bestätigt, wiegelt aber ab, da es sich ja nur um E-Mail-Adressen gehandelt habe. Die New York Times soll laut Valleywag unterdessen die Empfehlung an betroffene Mitarbeiter gegeben haben, das iPad nicht mehr in Verbindung mit dem Mobilfunknetz zu betreiben, bis der Vorfall geklärt sei. Apple hat bislang noch nicht offiziell reagiert.
Um an die Adressen zu gelangen, nutzte die Hackergruppe laut Bericht ein selbst entwickeltes PHP-Skript, das eine sogenannte ICC-ID der SIM an den Server schickte. Auf eine gültige ID antwortete der AT&T-Server mit einer E-Mail-Adresse. Bei der Server-Schnittstelle soll es sich um eine AJAX-Anwendung im Rahmen einer Webanwendung für das iPad gehandelt haben.
An gültige IDs gelangte die Gruppe nach eigenen Angaben beispielsweise über das Fotoportal Flickr, auf dem Anwender freizügig Fotos der SIM veröffentlichten. Aufbauend auf solche IDs musste das Skript nur noch hoch- oder herunterzählen. Einzige Hürde bei dem Angriff: Der Server antwortete nur, wenn der User-Agent in der Anfrage auf ein iPad schließen ließ – und das lässt sich mit einer Zeile Code bewerkstelligen. Ob die Kenntnis einer gültigen ICC-ID als Ausgangspunkt für weitere Angriffe dienen kann, darüber streiten sich derzeit Experten. (dab)
