iPad用户信息泄露 AT&T不作为还是黑客炒作

正当iPad热销之际，6月9日，博客网站Gawker.com突然发布了一篇名为《苹果最糟糕的安全漏洞：11.4万名iPad所有者信息被泄露》的文章。随后，事件的关联方在网络上开始针锋相对地展开“自卫战”。而在这场自卫战中，AT&T成了众矢之的，而攻击漏洞的“黑客”却意外地得到了众多网友和舆论的支持。

“今天，我收到了AT&T的道歉信。”一位受害者无奈地叹了口气，“那时，一个念头立刻跳了出来——我要收到更多的垃圾邮件了。”这一天是6月13日。在这一天，AT&T给所有iPad邮件地址泄露门事件的受害者发去了道歉信。

不过，这封道歉信似乎来得有点迟，而且看似是AT&T的无奈之举。

在道歉信发出的6天前，6月7日，AT&T在一个企业客户的通知下，对安全漏洞进行了审查，并于次日修补了这一漏洞。而所谓的修补，不过是停止了一项功能。

iPad内置了AT&T网络的SIM卡，每个SIM卡都带有一个身份验证号——ICC-ID。当把这一验证号发送至AT&T网站，并确认与真实的验证号匹配后，AT&T网站会返回在这一验证号所对应的邮件地址——这被AT&T称为“电子邮件的自动获取功能”。

一家名叫Goatse Security的网络安全组织发现了这一功能的漏洞，并由此获取了11.4万个iPad所有者的邮件地址。用Goatse Security的话说，漏洞是在“无意中”发现的。

在AT&T修复漏洞之前，Goatse Security中的一位成员在使用iPad时发现了这一问题。于是，他们编写了一段代码，用于自动生成一系列ICC-ID，并不断发送至 AT&T网站。当这些自动生成的ICC-ID与真实ICC-ID匹配时，AT&T网站会返回给Goatse Security相对应的邮件地址。

通过这一方式获得众多邮件地址后，Goatse Security并没有采取任何行动，他们在等待。直到6月8日，当他们发现AT&T取消了这一功能。于是，他们将这一漏洞信息披露给了 Gawker.com。

6月9日，Gawker.com将漏洞信息公之于众，并附带有 Goatse Security所盗取的邮件地址。这些地址的主人包括白宫办公厅主任拉姆·伊曼纽尔、ABC新闻主播黛安·索耶、纽约市长迈克尔·布隆伯格、著名电影制片人哈维·温斯坦和纽约时报公司CEO珍妮特·罗宾逊等知名人士。只不过，这些邮件地址的前半部分被遮盖住了。

信息一经披露，业界很快掀起了轩然大波。《纽约时报》甚至建议员工停止通过iPad登录网络，直到真正安全为止。而在11日，FBI(美国联盟调查局)也宣布介入调查。两天后，正如那位受害者所经历的——AT&T发来了道歉信。

这封道歉信将Goatse Security描述成邪恶的黑客，并将责任推给了Goatse Security。对于这封迟到的道歉信，Goatse Security的成员十分气愤。他们表示，要不是自己将信息公开，恐怕AT&T根本不会将这个漏洞信息通知消费者，更谈不上道歉了。

双方一场自卫式的口水战随即展开。

AT&T不诚实的道歉

“iPad邮件地址泄露门事件不是我们的错，而是一群被称为黑客的可恶的人攻击了我们的网站，并盗取了我们的用户邮件地址。”这并不是AT&T道歉信中的内容，而是来自一位网友对AT&T道歉信的整体印象。虽然不能断定这一印象是否准确，但至少反映出这位网友对AT&T行为极大地不满。

而这样差评AT&T的大有人在。许多评论都直指AT&T 的道歉信“不诚恳”。一位受害者在看到AT&T和Goatse Security双方发表的言论后，甚至认为应该有更多的媒体帮助传播Goatse Security的言论，以揭开AT&T的虚假面纱。

这里的虚假面纱指的是AT&T在道歉信中“不诚实”的言论。

在AT&T的道歉信中，它写道：“黑客花了很大的精力来编写了一段代码，以获得ICC-ID和用户的邮件地址。”不过真是如此吗?

Goatse Security立刻发表言论予以反击：“发现这个漏洞的成员仅花了一个小时的时间就获得了这11.4万个iPad所有者的邮件地址。”

而对于AT&T在道歉信中的另一个说法：这个漏洞只会泄露用户的邮件地址，不会有其他危害，Goatse Security也不认同。

Goatse Security的成员Auernheimer表示，更深层次的攻击是有可能发生的。他指出：“我最担心的是，有人拿到了邮件地址，再到RBN(俄罗斯商业网络地下市场)买到Safari(苹果公司的浏览器)的攻击代码，这样就能用来攻击美国政府官员和企业高层了。一些黑客组织安排了成百上千的人，全职地寻找各种漏洞。”

不仅如此，“黑客还能够通过ICC-ID获得更多的信息，比如iPad的归属地。”独立安全顾问Nick DePetrillo指出。

许多人将关注点落在了AT&T的错误、迟缓的行动以及不诚恳的道歉上。而Goatse Security扮演起了“为公众利益着想”的角色。整件事的背后难道真像Goatse Security所宣称的那样“没获得”任何利益吗?

Goatse Security意欲何为

Goatse Security的名字一下子传遍了大街小巷。

各种网站开始疯狂发布、转载这一事件的最新情况。CNET、CBS News等媒体争先恐后采访Goatse Security——一家拥有9位核心成员以及一些外包成员、没有基地的网络安全组织。这些报道里都是对这个组织业务及理念的介绍。“我以前从来没听说过这个名字，不过现在我很有兴趣去了解它。”一位网友表示。

虽然，Goatse Security在接受媒体采访时强调，揭露AT&T网络上的漏洞是为了激起企业、民众对安全的重视，纯粹是为了公众利益着想，但是有些业内人士不这么认为。

“你不应该单纯地认为，Goatse Security将漏洞信息交给Gawker.com不为任何私人利益。”一位分析师指出。这位分析师认为，Gawker.com和苹果的关系并不好，而 Goatse Security唯独将信息交给Gawker.com，这个网站又以“苹果最糟糕的安全漏洞：11.4万名iPad所有者信息被泄露”这样的标题报道了这个事件，背后一定有更深层次的利益牵扯。

“至少有一点，他们是为了宣传自己。”这位分析师称。

的确，从最终的结果来看，Goatse Security以较好的形象在公众面前“溜达”了一圈，以很低的成本将自己推到了公众的面前。