Hacker ergattern 12 Mio. Datensätze von Apple-Kunden
Eine Gruppe des losen Hackerkollektivs Anonymous will die ID-Nummern von über 12 Millionen Apple-Geräten vom Notebook eines FBI-Beamten kopiert haben. In Form einer Datei publiziert AntiSec nun eine Million dieser Unique Device Identifiers (UDID), mit welcher iOS-Geräte des Computer-Giganten eindeutig identifiziert werden.
Über den Anonymous-Twitter-Account weist die Hackergruppe auf die Eroberung hin und gibt an anderer Stelle eine Erklärung samt Download-Links zu der Datei ab. Die enthaltenen Apple-UDIDs sollen direkt zu den jeweiligen Nutzern und den Token des Apple Push Notification Service (APNS) geführt haben. Die Datei habe zudem auch persönliche Kundendaten wie Namen, Adressen und Handynummern enthalten, welche man jedoch nicht veröffentlicht habe.
Angeblich stammt die UDID-Liste von einem Laptop eines FBI-Mitarbeiters, zu welchem man sich durch Ausnutzung einer Java-Sicherheitslücke Zugriff verschafft habe. Die Datei habe den Namen NCFTA_iOS_devices_intel.csv getragen und sich direkt im Desktop-Ordner befunden. Mit der Veröffentlichung wollen die Hacker zum einen Kritik an Apples UDID-Verfahren üben und zum anderen auf die angebliche Nutzung dieser Daten durch das FBI zu einem unbekannten Zweck hinweisen.
Die UDID ist für gewöhnlich unveränderbar und erlaubt die eindeutige Zuordnung eines iOS-Geräts zu seinem Nutzer, worüber beispielsweise App-Entwickler das Nutzungsverhalten analysieren und erfahren, um welches Gerät es sich genau handelt. Auch bei der Nutzung von Apples Online-Diensten wird die UDID zur eindeutigen Zuordnung der Geräte verwendet. In der Kritik steht dieses Verfahren schon lange und vor Jahren war Apple aufgrund der angeblichen Weitergabe der über die UDID ermittelten Daten zu Werbezwecken verklagt worden. Letztlich hatte der Konzern allerdings mit der Umsetzung von strengeren Vorgaben beim Zulassungsverfahren für iOS-Applikationen reagiert und möchte die Nutzung der UDID zukünftig wohl abschaffen, da die entsprechenden APIs, die bereits jetzt als veraltet markiert sind, in neuen iOS-Versionen entfernt werden könnten.
Wir danken unseren Lesern nehemia und acheron für die Hinweise zu dieser News!
Das FBI hat sich mittlerweile mit einer Meldung auf Twitter selbst zu den Vorwürfen geäußert, dass die Daten von einem Notebooks eines Mitarbeiters stammen, und abgestritten, die Quelle für die 12 Millionen UDIDs zu sein.
Statement soon on reports that one of our laptops with personal info was hacked. We never had info in question. Bottom Line: TOTALLY FALSE
FBI PressOffice
Eine Pressemitteilung des FBI klingt etwas weniger eindeutig und sagt lediglich, dass man nach derzeitigen Informationen keinen Anhaltspunkt dafür habe, dass die Daten von einem gehackten FBI-Laptop stammen oder überhaupt erhoben wurden.
The FBI is aware of published reports alleging that an FBI laptop was compromised and private data regarding Apple UDIDs was exposed. At this time there is no evidence indicating that an FBI laptop was compromised or that the FBI either sought or obtained this data.
Als Reaktion hat AntiSec indes bereits angekündigt, dass man 3 Terabyte weitere Daten habe, die man veröffentlichen könnte.