Una vulnerabilità in uno script d'identificazione utente di AT&T ha permesso a un gruppo di pirati informatici - conosciuto come Goatse Security - di entrare in possesso di 114 mila indirizzi email di utenti iPad, prontamente finiti in rete.
I cracker hanno realizzato un attacco "brute force" con il quale hanno bombardato uno script pubblico di AT&T con numeri ICC-ID semi-casuali. ICC-ID è un termine che indica il numero identificativo che ogni utente usa per autenticarsi sulla rete AT&T.
Le email di uomini del governo e non solo in Rete
L'attacco non restituisce nulla se il numero ICC-ID immesso non è valido, ma in caso contrario fornisce un indirizzo email. I cracker sono entrati in possesso delle email di personaggi statunitensi famosi come Michael Bloomberg, ma anche uomini del governo e di altre aziende come Microsoft e Google.
AT&T ha chiuso immediatamente la falla, spegnendo lo script, ma la frittata era ormai stata fatta e ha dovuto prontamente scusarsi. C'è chi dice che AT&T sia stata contattata prima della pubblicazione online delle email; l'azienda nega. Si può fare molta dietrologia su questa vicenda, ma ufficialmente l'operatore mobile dichiara quanto segue:
"AT&T è stata informata da un cliente dell'esposizione potenziale degli ICC-ID dei loro iPad. L'unica informazione che può essere ottenuta con l'ICC-ID è l'email collegata a quel dispositivo. Questo problema è stato corretto; abbiamo essenzialmente spento la funzionalità che fornisce l'indirizzo email. La persona o il gruppo che ha scoperto la falla non ha contattato AT&T. Continueremo le indagini e informeremo i consumatori i cui indirizzi email e ICCD-ID sono stati trafugati".
Le email di personaggi di spicco
Apple non si è ancora espressa in merito. Seppur non direttamente coinvolta - l'attacco ha riguardato la rete AT&T - l'azienda ha comunque l'onere morale di assicurare privacy e sicurezza ai propri clienti. Speriamo che i toccati da questa disavventura siano adeguatamente assistiti dalle due aziende.