szukaj

10.09.2012 | 23:03

avatar

Adam Haertle

Skąd wyciekły dane użytkowników Apple i jak odkryto źródło wycieku

Niecały tydzień temu w sieci pojawił się plik z milionem identyfikatorów urządzeń Apple, opublikowany przez Anonoymous. Anonymous twierdzili, że został skradziony z komputera agenta FBI. My, jako jedni z niewielu, mieliśmy na ten temat inną teorię.

Przypomnijmy: 4 września pojawił się w sieci plik, zawierający milion rekordów w postaci identyfikatora urzadzenia Apple, tokenu, nazwy urządzenia oraz jego typu. Według komunikatu Anonymous, dane te (w oryginale 12 milionów rekordów) zostały skradzione z komputera agenta FBI. My zauważyliśmy kilka istotnych punktów, które sugerowały, że prawda wygląda inaczej.

Tydzień temu napisaliśmy

Naszym zdaniem najbardziej prawdopodobne jest, że dane zostały wykradzione z serwerów dostawcy aplikacji przez autorów oświadczenia, którzy użyli następnie publicznej tożsamości agenta FBI (ścigającego Anonymous) oraz znanego błędu w Javie do uwiarygodnienia rzekomego źródła wycieku. Przemawia za tym nie tylko ilość rekordów w bazie (zupełnie normalna dla dostawcy aplikacji, daleka od liczby użytkowników sprzętu Apple) a także nazwa pliku, delikatnie wskazująca na współpracę Apple z organami ścigania.

Okazuje się, że mieliśmy rację.

Skąd wyciekły dane

Prezes firmy BlueToad przyznał, że dane wyciekły z jego organizacji. BlueToad to firma, która nie jest znana użytkownikom Apple, ale jej technologia wykorzystywana jest przez kilka tysięcy wydawców do publikowania swoich treści oraz budowania aplikacji. Zgodnie z oświadczeniem prezesa, po ściągnięciu opublikowanego pliku z danymi z internetu odkryto, że zbieżność między danymi opublikowanymi przez Anonymous a bazą użytkowników produktów firmy wynosi 98%. Analiza powłamaniowa wykazała, że do kradzieży danych doszło w ciągu ostatnich dwóch tygodni. Co ciekawe, o włamaniu i wycieku firma dowiedziała się od niezależnego analityka, który samodzielnie ustalił źródło wycieku.

Jak ustalono, skąd wyciekły dane

David Schuetz zainteresował się plikiem z ujawnionymi danymi. Najpierw chciał sprawdzić, ile z 40 znaków ciągu identyfikatora UDID zapewnia jego unikalność. Szybko odkrył, że w ujawnionym pliku znajdowało się ok. 15 tysięcy identycznych ciągów UDID, którym jednak towarzyszyły różne tokeny i nazwy urządzeń. Mogło to oznaczać, że ktoś posiadał wiele wersji tej samej aplikacji w jednym urządzeniu – zatem mógł być np. deweloperem pracującym nad kolejnymi wcieleniami programu.

Śledząc ten wątek, David wyodrębnił dane powtarzających się identyfikatorów użytkowników. Wśród nazw powtarzających się urządzeń, znalazł takie przykłady jak 'Bluetoad Support’, 'BT iPad WiFi’, 'CSR iPad’ 'Customer Service iPad’, 'Developer iPad’, 'Bluetoad iPad’, 'Client iPad BT’ czy  'CSR/Marketing iPad’. Kiedy ustalił, że BlueToad jest producentem aplikacji, korzystającym z technologii Push, zaczął szukać dalej i natrafił także na urządzenia opisane danymi kluczowych pracowników firmy BlueToad.

Zebrane informacje przekazał firmie BlueToad, która szybko potwierdziła prawdziwość jego podejrzeń.

Wnioski

Wniosek jest jeden – pamiętajcie, by do wszystkich internetowych rewelacji podchodzić z zaufaniem proporcjonalnym do zaufania do źródła informacji. Ostrożność popłaca.

Powrót

Komentarze

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Skąd wyciekły dane użytkowników Apple i jak odkryto źródło wycieku

Komentarze