觀點

1200萬筆Apple用戶資料外洩 FBI被入侵了嗎?

2012 / 09 / 07
編輯部
1200萬筆Apple用戶資料外洩   FBI被入侵了嗎?

近來討論最熱烈的資安事件,莫過於1,200萬個Apple行動裝置唯一識別碼(Unique Device IDs, UDID)的外洩。UDID是一組由40個字元或符號組成的識別碼,可用來識別每一台iOS終端設備,以便開發人員追蹤使用者的應用程式註冊與使用狀況。

 

日前,駭客組織AntiSec在網路上公布了100萬台Apple裝置的UDID,並表示這是來自於FBI的檔案,他們從FBIRegional Cyber Action小組中的Christopher Stangl的筆電,下載了一個名為"NCFTA_iOS_devices_intel.csv"的檔案,其中有1,200萬筆iOS裝置的UDID,包括iPhoneiPadiPod touche等,網路上所公布的只是其中100萬個,同時也己經取得這些用戶的個人資料,包括姓名、電話以及住址等。

 

AntiSec為駭客團體Anonymous下的組織,在今年稍早之前,就曾攻擊過隸屬Panda Security防毒公司的Panda Labs公司網站,以及銷售設備給美國警局的New York Ironwork的公司網站。

 

一位丹麥CISIS安全公司網路安全專家Peter Kruse出面證實了這起外洩事件,他表示,他的3UDID就被列在AntiSec公布的名單中。

 

至於被AntiSec竊走的檔案,檔名中的NCFTANational Cyber-Forensics & Training Alliance),即指美國國家網路刑事鑑識與訓練聯盟,該組織與FBI和其他私人企業合作打擊駭客攻擊和網路詐騙,AntiSec認為,這些UDID是被FBI作為追蹤使用者之用。

 

對此,NCFTA沒有任何回應。FBI則在9/4發表3點聲明,第一、沒有任何證據顯示該駭客組織是透過FBI竊取資料;第二、該組織內部的筆電也沒有發現任何被入侵的跡象;第三、FBI並未蒐集Apple裝置與用戶的資料。在FBI對外發出回應後的隔天,Apple發言人Natalie Kerris也表示,FBI沒有要求Apple提供公司產品的UDID,而Apple也未曾提供這些資訊給FBI或是其他組織。

 

安全組織SANS Internet Storm CenterJohannes Ullrich認為,沒有任何資料顯示此次的外洩事件與FBI有關,至於究竟是誰可能會有這樣的資料,目前也無法得知,因為很多應用程式開發者都有UDID的資料庫,這意味著任何組織可以不用透過Apple就能直接取得這些資料。研究UDID超過一年的安全專家Aldo Cortesi便指出,至少有5-10家手機網路廣告與遊戲的業者,擁有超過千萬筆UDID,而其他業者也可能擁有數百萬筆以上的資料。

 

此外,因為UDID可以連結至使用資料進而辨識使用者身份,因此使用UDID也同樣引起隱私爭議。對於UDID可能引發的問題,Apple則表示,他們已經找到新技術用來取代UDID,預計短期內就不會再使用UDID,可以避免此類的隱私外洩風險。