News Hacker ergattern 12 Mio. Datensätze von Apple-Kunden

[tom0404]

10 000 000 potentielle Terroristen . Kommt dir das nicht ein bisschen viel vor.

 

[Elfhelm]

Schreckt mich grad, dass wir schon soweit sind, dass Regierungsbehörden über Twitter Stellung zu einem Thema beziehen.

warum nicht? solang sie später auch eine presseerklärung abgeben

 

[AUSTRIAZ]

... weil Apple im schlechten (und zwar zu recht) schlechten Licht dar steht...)

Warum das denn? Ich will hier nicht den AppleFanBoy machen, aber was kann Apple dafür, dass das FBI UDIDs sammelt? Die haben sicher auch unzählige Listen mit MAC-Adressen; sind dafür jetzt die Mainboardhersteller verantwortlich? Darüberhinaus verbietet Apple den Entwicklern seit längerem schon die UDID auszulesen, versuchst du es dennoch wir dein App nicht in den AppStore durchgewunken.

@topic
Finde es ganz cool, dass anscheinend die UDID von Obamas iPad auch auf der list ist *klick*

 

[A. Sinclaire]

10 000 000 potentielle Terroristen . Kommt dir das nicht ein bisschen viel vor.

Wie gesagt - bei der Rasterfahnung durchaus möglich. Wäre ja nicht der einzige Punkt.

Aber wenn mehrere Punkte zusammenkommen

- Liest "radikale" Koran-App
- Ist unter 65 Jahre alt
- Ist in der Vergangenheit nach Pakistan / Afghanistan gereist
- etc

... so verringert sich die Zahl immer mehr... bis man eine Zahl übrig hat die klein genug ist um sie individuell genauer unter die Lupe zu nehmen..

 

[choosman]

Mhh aus dem Artikel ist jetzt aber nicht ersichtlich, das hier die Daten über das Internet abgezogen wurden.

Im Idealfall ist der komplette Laptop in die Händer der Gruppe gelangt. Was natürlich bestätigt das die FBI Rechner nicht komprimitiert wurden. Einen Einstieg über Java wäre dann relativ einfach, wenn man den Rechner in ein eigenes Netzwerk integriert.

Die Datengrösse von 3 TB sind dabei auch recht belanglos, da Sie auch in komprimierter Version vorliegen könnten.

Also bleibt eigendlich nur die Fragen sind es tatsächlich FBI Dateien, wie ist das FBI an diese gekommen (ok die haben doch diesen Patrioten Artikel nach dem 11.9. eingeführt, und dürfen alles wegen angeblicher Terrorabwehr) und was wird mit diesen Daten angestelllt.

 

[Vezax]

Würde mich eher fragen wie der Beamte 3Tb und mehr auf seinem Laptop (!) gespeichert haben soll.

 

[halskrause]

Und wo steht das die 3TB von einem Lapotop kommen?

Na ja, wenn sie im Laptop wahren, dann vieleicht auch im Netzwerk?
Oder wer sagt das es nur EIN Laptop war?

Das steht in der Quelle. Es hilft wirklich, mal etwas mehr als nur die Newsmeldung auf CB zu lesen

During the second week of March 2012, a Dell Vostro notebook, used by
Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action
Team and New York FBI Office Evidence Response Team was breached using the
AtomicReferenceArray vulnerability on Java, during the shell session some files
were downloaded from his Desktop folder one of them with the name of
"NCFTA_iOS_devices_intel.csv" turned to be a list of 12,367,232 Apple iOS
devices including Unique Device Identifiers (UDID), user names, name of device,
type of device, Apple Push Notification Service tokens, zipcodes, cellphone
numbers, addresses, etc. the personal details fields referring to people
appears many times empty leaving the whole list incompleted on many parts. no
other file on the same folder makes mention about this list or its purpose.

 

[sommerwiewinter]

Ich hab keine Ahnung von Apple und würde gerne wissen, was man mit den Daten anstellen kann.
Wenn man weiß, welche Geräte ID welchen Besitzer hat, nutzt das doch fast nur der Polizei, FBI etc.?
...oder kann ein Krimineller damit schaden anrichten, wie mit Pin/Tan?

 

[Yinj]

10 000 000 potentielle Terroristen . Kommt dir das nicht ein bisschen viel vor.

Könnte als Grund für die Daten angegeben werden. Das kommt doch viel besser als wenn das FBI sagt wir spionieren euch nur nach.

 

[j3tho]

Ob welch Glück, die Retter des Internets waren wieder unterwegs auf Beutezug

 

[A. Sinclaire]

Nochmal zur Rasterfahndung:

Ein Beispiel aus Deutschland (RAF):

1979 unterhielt die RAF in Frankfurt am Main eine oder mehrere unter Falschnamen angemietete konspirative Wohnungen, die Polizei wußte nur nicht, wo. Da die Terroristen die Stromrechnung nicht von Konto zu Konto bezahlen konnten, war anzunehmen, daß ihre Falschnamen sich in der Gruppe derer befinden müßten, die ihre Stromrechnung bar bezahlen. Dies waren seinerzeit etwa 18000. Wie kann man die gesuchten Falschnamen der Terroristen aus einer solchen Menge herausfinden? Die Antwort ist einfach: indem man alle legalen Namensträger so lange aus der Menge der barzahlenden Stromkunden herauslöscht, bis nur noch die Träger von Falschnamen übriggeblieben sein können. . Sonach wurden aus dem richterlich beschlagnahmten Magnetband aller barzahlenden Stromkunden alle Personen herausgelöscht, deren Namen als legale Namen feststanden: die gemeldeten Einwohner, die Kfz-Halter, die Rentner, die Bafög-Bezieher, die im Grundbuch verzeichneten Eigentümer, die Brandversicherten, die gesetzlich Krankenversicherten und so weiter – jede Datei mit Legalnamen kann als ‚Radiergummi‘ dienen. Erst dann, wenn anzunehmen ist, daß alle Legaldaten herausgelöscht sein könnten, wird der Restbestand des Magnetbandes ausgedruckt. Im Falle Frankfurt fanden sich am Ende der allerdings auch manuell unterstützten Prozedur nur noch zwei Falschnamen: der eines Rauschgifthändlers und der des gesuchten Terroristen Heißler, der in seiner dadurch ermittelten konspirativen Wohnung kurz darauf festgenommen wurde.

http://de.wikipedia.org/wiki/Rasterfahndung

 

[Bartonius]

Mein Gott, lernt doch wirklich mal zu lesen. Ich hab echt das Gefühl, die meisten hier haben den ersten Satz gelesen und springen danach in die Kommentare um hier rum zu pöbeln, wie dumm doch alle sind.
Ich hab gefühlte 1000 mal gelesen "BlaBla UDID vollkommen uninteressant, juckt doch keinen, usw." Im Artikel steht GANZ EINDEUTIG, dass die UDID in Verbindung mit weiteren Daten wie Name, Adresse, Handynummer und wer weiß was noch alles stand und damit wird das ganze höchst interessant.
Nun zu dem "Apple hat doch keine Schuld": Wo sollen die Daten denn herkommen? Kann eine App die UDID zusammen mit dem Name, der Adresse und der Handynummer auslesen und speichern? Ich glaube nicht Tim. Es ist offensichtlich, dass die Daten von Apple direkt stammen, auf welchem Wege sie das FBI erlangt hat ist doch vollkommen schnurz!
Und zu guter letzt zu den Leute die das mit den "3TB" nicht verstehen: AntiSec hat schlicht und ergreifend gesagt, sie haben weitere 3TB an Datensätzen, die sie veröffentlichen könnten, wenn das FBI weiterhin der Meinung ist, ihnen wäre nichts gestohlen worden. Das hat rein gar nichts mehr mit dem Laptop oder den Apple Daten zu tun, sondern sie sagen einfach wir haben noch mehr also labert nicht, euer System sei sicher.

 

[Sephe]

Ich habe die Datensätze mal runtergeladen und gepüft.
Erschreckenderweise ist die UDID meines iPads dabei, obwohl ich weder urheberrechtlich geschützte Inhalte lade, oder sonst iwas mit Koran, Religion, Bombenbau etc zu tun habe.
Ich war auch noch nie in den USA.

Für alle die es interessiert.
Ich zitiere mal die Quelle:

there you have. 1,000,001 Apple Devices UDIDs linking to their users and their
APNS tokens.
the original file contained around 12,000,000 devices. we decided a million would be
enough to release.
we trimmed out other personal data as, full names, cell numbers, addresses,
zipcodes, etc.
not all devices have the same amount of personal data linked. some devices
contained lot of info.
others no more than zipcodes or almost anything. we left those main columns we
consider enough to help a significant amount of users to look if their devices
are listed there or not. the DevTokens are included for those mobile hackers
who could figure out some use from the dataset.


file contains details to identify Apple devices.
ordered by:

Apple Device UDID, Apple Push Notification Service DevToken, Device Name,
Device Type.



We never liked the concept of UDIDs since the beginning indeed.
Really bad decision from Apple.
fishy thingie.

Somit sind keine Adressen, Telefonnummern, Apple-IDs, etc in dem Ausschnitt erkennbar.

Auf jeden Fall stimmt meine UDID mit meinem iPad-Namen überein.

 

[hZti]

Mir erschließt sich leider nicht ganz was mit den Daten nun gemacht werden kann also ob da mit auf meinen Mac zugegriffen werden kann usw. da ich das am wichtigsten finde.

 

[Yinj]

Nun zu dem "Apple hat doch keine Schuld": Wo sollen die Daten denn herkommen? Kann eine App die UDID zusammen mit dem Name, der Adresse und der Handynummer auslesen und speichern? Ich glaube nicht Tim. Es ist offensichtlich, dass die Daten von Apple direkt stammen, auf welchem Wege sie das FBI erlangt hat ist doch vollkommen schnurz!

über die UDID können die Apps doch auf solche Infos zugreifen.

 

[Merle]

Sprich die Hacker waren schon extrem gut. Wieso die Daten dort so unverschlüsselt lagen wird uns wohl kaum jemand sagen.

Ach was, garnix war daran gut.
Wenn das OS oben ist und Java ja schon läuft, sind die Partition meistens mittels Pre-Boot-Authentication schon entschlüsselt!
Für das OS sind solche Verschlüsselungen Volltransparent. Daher muss man da nix mehr können als bei nicht verschlüsselten Notebooks.
Wenn die NBs aus sind, sind die aber beinahe unknackbar.

Die Liste lokal zu haben war halt ein Fehler. Für solche Fälle dechiffriert man gewisse Partitionen/Container auch nur nach Bedarf! Tun aber die wenigsten.

@News:
Naja. Ich bin sicherlich betroffen. Aber auch hier find ich es wieder gut. Denn: Warum dementiert das FBI? Weil die genau wissen, dass das zu viel war. Das wäre auch in den USA nicht legal. Wobei das FBI ja Narrenfreiheit genießt.
Zudem kommt da auch das nächste: Apple will die UDIDs doch eh seit Februar abschaffen und hat die Funktionen als veraltet deklariert. Die wären bald "verschwunden". Also nicht verschwunden, aber für Progs unnutzbar gewesen.
Noch ein Kommentar zu der Ansicht, dass das nur US Bürger betrifft:
Die Datensätze sind alle bunt gemischt! Ich habe viele gesehen mit "iPhone di Santo" blabla, "iPhone von Sebastian", "iPhone van blabla"... Das lässt auf die Sprache schließen.
Die haben auch die Deutschen Datensätze.

 

[Cytrox]

wieso steht Apple im schlechten licht da? Weil das FBI gehackt wurde?

Nein, sondern weil sie ihre Geräte unnötig identifizierbar gemacht haben.

Mhh aus dem Artikel ist jetzt aber nicht ersichtlich, das hier die Daten über das Internet abgezogen wurden.

Wie sonst? Wenn man physischen Zugang gehabt hätte, wäre ja wohl kaum das ausnützen einer Java Sicherheitslücke in einem Applet notwendig gewesen.

 

[AUSTRIAZ]

...Kann eine App die UDID zusammen mit dem Name, der Adresse und der Handynummer auslesen und speichern?....

Ja, kann es. Mit Zugriff auf die Kontakte(benötigt User Permission) hat man auf jeden Fall die eigene Nummer; Namen/Adresse etc. auch - sofern der User schon vorher diese speicherte. Der Name des Gerätes ist sogar ohne User permission auszulesen(2 Zeilen code). Ortsspezifische Dinge sind auch kein Problem - einerseits durch den GPS Sender(für alles genauer als das Land User Persmission benötigt) oder einfach aufgrund der IP beim absenden der Daten - somit komme ich zu Stadt, PLZ, Land etc. Und nur um sicher zu gehen, klatschen wir noch ein Anmeldeformular dazu, damit wir Namen, Alter etc - falls nicht schom im Adressbuch gespeichert - auch bekommen. Ach ja - den Netzbetreiber bekomme ich aus der Kombination aus Telefonnummer und Herkunftsland.

Dieses Vorgehen würde auch erklären warum nicht alle Datensätze vollständig sind, sondern nur manche.

 

[Staubor]

Für alle die wissen wollen ob Ihre ID dabei ist: KLICK MICH

 

[kenny33]

Natürlich leugnen die das.
1. Es ist peinlich, dass einer Sicherheitsbehörde ein Laptop gekapert wird
2. Es deutet ihre Datensammelwut an

beides soll die Öffentlichkeit nicht wissen....