ข่าวนี้น่าจะเป็นข่าวใหญ่ในช่วงอาทิตย์นี้เลยทีเดียว ถึงขั้น FBI ต้องออกมามีเอี่ยวด้วย เนื่องจากทีม security ที่ใช้ชื่อว่า Goatse Security ได้ค้นพบช่องโหว่บนเว็บ application ของ AT&T ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีระบบสามารถดึงข้อมูล email ของผู้ใช้ iPad 3G ออกมาได้ แต่สิ่งที่ทำให้มันกลายเป็นข่าวใหญ่จริงๆ ก็คือ email ที่ทีม Goatse Security ได้ดึงออกมานั้น มี email ของบุคคลสำคัญมากมาย เช่น CEOs ของบริษัทยักษ์ใหญ่ทั้งหลาย, เจ้าหน้าที่ในกองทัพของสหรัฐอเมริกา รวมไปถึงนักการเมืองระดับสูงอีกด้วย

ทีม Goatse Security ได้แจ้งทาง AT&T ให้ปิดช่องโหว่ก่อนที่จะประกาศช่องโหว่นี้ออกสู่สาธารณะ(ซึ่งตอนนี้ AT&T ได้ปิดช่องโหว่เรียบร้อยแล้ว) สำหรับรายละเอียดของช่องโหว่นั้น เกิดจากการสุ่มค่า ICC-ID(integrated circuit card identifier) ซึ่งเป็นค่าที่ผูกกับ sim card เพื่อระบุตัวตนของผู้ที่เป็นเจ้าของ iPad 3G เครื่องนั้นๆ (ข้อมูลถูกป่าวหว่า ไม่เคยใช้เครือข่าย AT&T ซะด้วย) ซึ่งทางทีม Goatse Security ได้สุ่มค่า ICC-ID พร้อมทั้งเปลี่ยน User-Agent แล้วส่ง HTTP request ไปที่ server ของ AT&T ซึ่งเพียงแค่นั้นก็ได้ email ที่ผูกกับค่า ICC-ID กลับคืนมา โดย server ดังกล่าวสามารถเข้าถึงได้จากบุคคลทั่วไป ไม่ได้มีการตั้ง password หรือป้องกันใดๆ ไว้เลย สำหรับ application ก็เพียงแค่เช็คว่า User-Agent เป็นของ iPad 3G หรือไม่ ทำให้ข้อมูลถูกขโมยได้อย่างง่ายได้ ซึ่งในทางทฤษฎีแล้วช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูลของผู้ใช้ iPad 3G ทุกคนได้ เพียงแต่ในทางปฏิบัติแล้วเป็นไปได้ค่อนข้างยาก เพราะต้อง generate ค่า ICC-ID ขึ้นมามากมายมหาศาลทีเดียว


ตัวอย่าง email ที่ถูกเก็บมาได้ครับ (ทีม Goatse Security ได้เก็บ email มาได้ทั้งหมด 114,067 email)












ทาง AT&T ก็ได้ประกาศขอโทษผู้ใช้งานออกมาแล้วนะครับ โดยมีเนื้อความดังนี้


“AT&T was informed by a business customer on Monday of the potential exposure of their iPad ICC IDS. The only information that can be derived from the ICC IDS is the e-mail address attached to that device. This issue was escalated to the highest levels of the company and was corrected by Tuesday; and we have essentially turned off the feature that provided the e-mail addresses. The person or group who discovered this gap did not contact AT&T. We are continuing to investigate and will inform all customers whose e-mail addresses and ICC IDS may have been obtained. We take customer privacy very seriously and while we have fixed this problem, we apologize to our customers who were impacted.”




เรื่องเหมือนว่าจะจบ อยู่ดีๆ FBI ก็ลงมาสืบสวนกรณีนี้ซะงั้น (แต่ดูจากตัวอย่างผู้ถูกขโมยข้อมูลแล้ว ไม่ออกมาคงไม่ได้ ) โดยจะเอาผิดกับทาง Goatse Security แน่นอนครับ ทาง Goatse Security ไม่ยอมด่ากลับบน blog โดยบอกว่า


1. การกระทำของ Goatse Security นั้น ไม่ได้เป็นการเจาะระบบโดยผิดกฎหมายเพราะข้อมูลดังกล่าวไม่ได้มี password ป้องกัน และสามารถเข้าถึงได้จาก internet ไม่ได้มีการ hack, pentest หรืออะไรที่เกี่ยวข้องกับการเจาะระบบเลย
2. ข้อมูลต่างๆ ถูกเปิดเผยหลังจาก AT&T ปิดช่องโหว่เรียบร้อยแล้ว
3. ข้อมูลที่ได้มา ทาง Goatse Security ก็เก็บไว้เป็นความลับไม่ได้เป็นเผยแต่อย่างใด มีแค่ Ryan Tale (journalist ของ Gawker) เท่านั้นที่ได้รับไปเพื่อเขียนข่าว และ Ryan Tale ก็ได้แก้ไขข้อมูลเพื่อให้ไม่กระทบกับผู้เสียหายก่อนนำเสนอบนเว็บด้วย




และยังเสริมต่อว่าที่ตัดสินใจเปิดเผยข้อมูลเพราะคิดว่าผู้ใช้งาน iPad สมควรที่จะรู้ว่ามีช่องโหว่นี้อยู่ และอาจส่งผลกระทบกับตัวเองได้ และไม่คิดว่าช่องโหว่ที่กระทบ privacy ควรจะถูกเก็บไว้เป็นความลับ




สำหรับรายละเอียดยิบย่อยอื่นๆ ตามได้จาก reference เลยนะครับ (รวมทั้งตัวอย่างชื่อของผู้มีอิทธิพลในวงการต่างๆ ที่ถูกดึง email มาด้วย)


reference:
Apple's Worst Security Breach: 114,000 iPad Owners Exposed
FBI Investigating iPad Breach (Update)
On disclosure ethics | Goatse Security