Skąd wyciekły dane użytkowników Apple i jak odkryto źródło wycieku

dodał 10 września 2012 o 23:03 w kategorii Mobilne, Prywatność, Włamania  z tagami:
Skąd wyciekły dane użytkowników Apple i jak odkryto źródło wycieku

Niecały tydzień temu w sieci pojawił się plik z milionem identyfikatorów urządzeń Apple, opublikowany przez Anonoymous. Anonymous twierdzili, że został skradziony z komputera agenta FBI. My, jako jedni z niewielu, mieliśmy na ten temat inną teorię.

Przypomnijmy: 4 września pojawił się w sieci plik, zawierający milion rekordów w postaci identyfikatora urzadzenia Apple, tokenu, nazwy urządzenia oraz jego typu. Według komunikatu Anonymous, dane te (w oryginale 12 milionów rekordów) zostały skradzione z komputera agenta FBI. My zauważyliśmy kilka istotnych punktów, które sugerowały, że prawda wygląda inaczej.

Tydzień temu napisaliśmy

Okazuje się, że mieliśmy rację.

Skąd wyciekły dane

Prezes firmy BlueToad przyznał, że dane wyciekły z jego organizacji. BlueToad to firma, która nie jest znana użytkownikom Apple, ale jej technologia wykorzystywana jest przez kilka tysięcy wydawców do publikowania swoich treści oraz budowania aplikacji. Zgodnie z oświadczeniem prezesa, po ściągnięciu opublikowanego pliku z danymi z internetu odkryto, że zbieżność między danymi opublikowanymi przez Anonymous a bazą użytkowników produktów firmy wynosi 98%. Analiza powłamaniowa wykazała, że do kradzieży danych doszło w ciągu ostatnich dwóch tygodni. Co ciekawe, o włamaniu i wycieku firma dowiedziała się od niezależnego analityka, który samodzielnie ustalił źródło wycieku.

Jak ustalono, skąd wyciekły dane

David Schuetz zainteresował się plikiem z ujawnionymi danymi. Najpierw chciał sprawdzić, ile z 40 znaków ciągu identyfikatora UDID zapewnia jego unikalność. Szybko odkrył, że w ujawnionym pliku znajdowało się ok. 15 tysięcy identycznych ciągów UDID, którym jednak towarzyszyły różne tokeny i nazwy urządzeń. Mogło to oznaczać, że ktoś posiadał wiele wersji tej samej aplikacji w jednym urządzeniu – zatem mógł być np. deweloperem pracującym nad kolejnymi wcieleniami programu.

Śledząc ten wątek, David wyodrębnił dane powtarzających się identyfikatorów użytkowników. Wśród nazw powtarzających się urządzeń, znalazł takie przykłady jak ‚Bluetoad Support’, ‚BT iPad WiFi’, ‚CSR iPad’ ‚Customer Service iPad’, ‚Developer iPad’, ‚Bluetoad iPad’, ‚Client iPad BT’ czy  ‚CSR/Marketing iPad’. Kiedy ustalił, że BlueToad jest producentem aplikacji, korzystającym z technologii Push, zaczął szukać dalej i natrafił także na urządzenia opisane danymi kluczowych pracowników firmy BlueToad.

Zebrane informacje przekazał firmie BlueToad, która szybko potwierdziła prawdziwość jego podejrzeń.

Wnioski

Wniosek jest jeden – pamiętajcie, by do wszystkich internetowych rewelacji podchodzić z zaufaniem proporcjonalnym do zaufania do źródła informacji. Ostrożność popłaca.