USA: 100.000 iPad-Anwender ausspioniert

Martin Schindler,

Ein Hack auf den Webseiten des US-Carriers AT&T hat die E-Mail- und iPad- Identifikationsnummern von über 100.000 iPad-Nutzern offengelegt. Wie es scheint, ist der Fehler aber nicht im iPad selbst zu suchen.

Insgesamt wurden rund 114.000 E-Mail-Adressen von iPad-Nutzern, sowie die Seriennummern der SIM-Karten offengelegt. Laut AT&T seien keine weiteren Informationen abgeflossen. Unter den Opfern der Datenpanne befinden sich der Personal-Chef des Weißen Hauses, Rahm Emanuel, die Journalistin Diane Sawyer, New Yorks Bürgermeister Michael Bloomberg, der CEO der New York Times sowie viele weitere hochrangige Vertreter aus Politik und Wirtschaft.

Die E-Mail-Adresse könnten Angreifer nun für so genannte Spear-Phishing-Attacken auf höhergestellte Personen nutzen. Zudem könnten diesen Personen spezielle Malware per Mail übermittelt bekommen.

Betroffen Nutzer sollten gegebenenfalls ihre E-Mail-Adresse ändern, die mit dem iPad verbunden ist. Opfer sollten zudem in den nächsten Wochen besondere Vorsicht walten lassen, wenn sie Attachments in Mails öffnen. Weitere Attacken, bei denen etwa die Information der SIM-Seriennummer eine Rolle spielen könnte, sind eher unwahrscheinlich.

Zumal ein krimineller Hintergrund der Aktion ebenfalls eher auszuschließen ist. Von der Sicherheitsgruppe Goatse Security gibt es jetzt eine Art Bekenner-Blog. Bei der Attacke handle es sich nicht um einen “Einbruch” heißt es dort. Alle Informationen seien im Prinzip für jedermann im Internet einsehbar gewesen.

Zudem habe das Gruppenmitglied Escher Auernheimer, wie er in einem Interview mit dem Branchendienst CNET erklärte, die Datenpanne erst dann veröffentlicht, nachdem AT&T darüber informiert worden sei und das Leck behoben wurde. “Die gesamte Aktion war legal, und hat die Sicherheit des iPads verbessert”, heißt es in dem Goatse Security Blog. Die Informationen seien zudem ausschließlich an einen Redakteur von Gawker Media weitergeleitet worden, der alle sensiblen Informationen unkenntlich gemacht habe.

Der Goatse-Aktivist habe lediglich ein Passwort eingeben müssen, und musste auf der neu aufgesetzten AT&T-Seite nur Daten von anderen iPads vorgeben. Mit einem automatisierten Script hatte er die Web-Anwendung dann dazu gebracht, über eine Liste mit aufsteigenden SIM-Seriennummern, sämtliche E-Mail-Adressen auszuspucken.