Un million d'identifiants uniques d'appareils Apple dans la nature
Piratés d'un laptop du FBI par un groupe de hackers
Le 2012-09-05 13:25:01, par tarikbenmerar, Chroniqueur Actualités
La rumeur circulait déjà, mais des données postées sur le service Pastebin viennent la confirmer. Un million d'identifiants uniques (UDIDs) d'appareils iOS (iPhone, iPad, iPod) sont dans la nature.
L'acte a été prémédité par un groupe de hackers nommé Antisec. Le fichier de la liste en question comporte plus de 12 millions d'enregistrements de dispositifs, incluant des UDIDs Apple, des noms d'utilisateurs, des jetons de notifications push, et dans certains cas même, des noms, des numéros de mobiles, des adresses avec codes postaux...
Le groupe a retiré les informations les plus sensibles et a publié le douzième de la liste : 1.000.001 identifiants.
Le plus remarquable est que le groupe prétend que les enregistrements ont été récupérés à partir d'un ordinateur portable du FBI. Ainsi, durant la deuxième semaine de mars, le groupe se serait introduit dans un notebook Dell Vostro appartenant à Christopher K. Strangl, un Supervisor Special Agent de la Regional Cyber Action Team et du New York FBI Office Evidence Response Team. Rien que ça !
Les hackers ont réussi leur coup en utilisant la vulnérabilité Java AtomicReferenceArray. Durant la session shell, des fichiers ont été téléchargés du répertoire du bureau de la victime. L'un de ces fichiers porte le nom de NCFTA_iOS_devices_intel.csv et contient au format CSV les données sensibles compromises.
La source des données n'est pas encore claire. Il se pourrait que les données aient été récupérées par des développeurs d'applications, pour délivrer des notifications push.
Le risque majeur concerne la vie privée des utilisateurs, avec des données pouvant être utilisées dans des réseaux de publicités ou d'applications, pour comprendre les activités et intérêts des utilisateurs et mieux les cibler.
S'il est légitime de se demander ce que risquent les clients d'Apple, une autre question devrait tarauder les esprits : comment se fait-il que le FBI ait mis la main sur une telle liste ? Et pourquoi se retrouve-t-elle non chiffrée, sur le bureau d'un ordinateur vulnérable ?
Apple et le bureau fédéral devraient en tout cas s'expliquer.
Source : détails sur l'attaque sur Pastebin
Et vous ?
L'acte a été prémédité par un groupe de hackers nommé Antisec. Le fichier de la liste en question comporte plus de 12 millions d'enregistrements de dispositifs, incluant des UDIDs Apple, des noms d'utilisateurs, des jetons de notifications push, et dans certains cas même, des noms, des numéros de mobiles, des adresses avec codes postaux...
Le groupe a retiré les informations les plus sensibles et a publié le douzième de la liste : 1.000.001 identifiants.
Le plus remarquable est que le groupe prétend que les enregistrements ont été récupérés à partir d'un ordinateur portable du FBI. Ainsi, durant la deuxième semaine de mars, le groupe se serait introduit dans un notebook Dell Vostro appartenant à Christopher K. Strangl, un Supervisor Special Agent de la Regional Cyber Action Team et du New York FBI Office Evidence Response Team. Rien que ça !
Les hackers ont réussi leur coup en utilisant la vulnérabilité Java AtomicReferenceArray. Durant la session shell, des fichiers ont été téléchargés du répertoire du bureau de la victime. L'un de ces fichiers porte le nom de NCFTA_iOS_devices_intel.csv et contient au format CSV les données sensibles compromises.
La source des données n'est pas encore claire. Il se pourrait que les données aient été récupérées par des développeurs d'applications, pour délivrer des notifications push.
Le risque majeur concerne la vie privée des utilisateurs, avec des données pouvant être utilisées dans des réseaux de publicités ou d'applications, pour comprendre les activités et intérêts des utilisateurs et mieux les cibler.
S'il est légitime de se demander ce que risquent les clients d'Apple, une autre question devrait tarauder les esprits : comment se fait-il que le FBI ait mis la main sur une telle liste ? Et pourquoi se retrouve-t-elle non chiffrée, sur le bureau d'un ordinateur vulnérable ?
Apple et le bureau fédéral devraient en tout cas s'expliquer.
Source : détails sur l'attaque sur Pastebin
Et vous ?
-
CrazyfabooMembre actifle 05/09/2012 à 15:15
-
BPieroMembre actifSalut,Quelle drôle de question... J'aurais plutôt posé:
Les organismes officiels font-ils le nécessaire pour protéger leurs données confidentielles ?
Les organismes officiels font-ils le nécessaire pour protéger nos données confidentielles (dont ils disposent d'ailleurs on ne sait de quel droit, ni pour quel usage) ?
@+
Pierole 05/09/2012 à 15:02 -
DotCertisMembre actifLa réponse officielle du FBI :
Et la réponse sur le compte Twitter« Le FBI est au courant des rapports publiés alléguant qu'un ordinateur portable du FBI a été piraté et des UDID d'Apple volés et rendus publics. Il n'existe à l’heure actuelle aucune preuve indiquant qu'un ordinateur portable du FBI ait été piraté ou que le FBI ait demandé ou obtenu ces données »
Et au passage pour le fun, Adrien Chen a aceppté de dposer en tutu avec une chaussure sur la tête :
http://gawker.com/5940444/here-is-a-picture-of-a-gawker-writer-wearing-a-tutu-with-a-shoe-on-his-headle 06/09/2012 à 11:58 -
zeyr2mejetremMembre chevronnéExactement !
Il dispose des données personnelles d'usagers américains du droit qu'ils ont obtenu par le Patriot Act.
Et je pense que si le FBI est sommé de s'expliquer, cela sera concernant le fait que ces données étaient en clair sur un PC vulnérable et qu'il se tape la honte devant le monde entier et non sur le fait qu'il détenait ces dites données.le 05/09/2012 à 16:38