Маленькая компания из Флориды утверждает, что база данных, содержащая миллион идентификаторов устройств Apple, опубликованная на прошлой неделе хакерской группировкой Anonymous, была украдена с ее серверов две недели назад. Это признание, сделанное главой компании эксклюзивно NBC News, противоречит заявлению Anonymous о том, что хакеры украли данные в марте из ноутбука агента ФБР.
Слова Anonymous привлекли внимание, так как они предполагали, что ФБР использует уникальные идентификаторы устройств – так называемые UDID, - чтобы шпионить за американскими гражданами с помощью их айфонов, айпэдов и айподов. На прошлой неделе ФБР опровергло эти обвинения. В ответ на просьбу дать комментарий для нашей статьи оно отослало к этому опровержению.
Пол Дехарт (Paul DeHart), глава издательской компании Blue Toad, заявил NBC News, что техники из его фирмы загрузили информацию, опубликованную Anonymous, и сравнили ее с собственной базой данных фирмы. Анализ обнаружил 98% корреляцию между ними.
Читайте также: Эволюция Anonymous
«Это означает 100 % уверенность в том, что это наши данные, - считает Дехарт. – Как только мы обнаружили, что мы оказались причастны к этому и стали жертвой хакеров, мы связались с правоохранительными органами и начали принимать меры, чтобы прояснить дело, очистить свою репутацию и принять на себя ответственность».
По словам Дехарта, на прошлой неделе с ним связался специалист по безопасности Дэвид Шутц (David Schuetz), предположивший, что источником утечки могла стать Blue Toad. Анализ, проведенный компанией, показал, что данные были украдены «в течение последних двух недель». Дополнительные подробности Дехарт сообщать отказался, сославшись на то, что сейчас идет расследование.
«Не знаю, к чему все это приведет в итоге, - добавил глава Blue Toad. – Мы глубоко извиняемся перед людьми, которые полагались на нас и рассчитывали, что мы сохраним эту информацию».
Дехарт не может исключить возможность того, что украденная с серверов компании информация могла попасть в третьи руки и в итоге оказаться на компьютере ФБР. Он также сказал, что не знает, кто украл данные.
Обнаруженный факт кражи данных заставляет всерьез усомниться в заявлении Anonymous о том, что идентификаторы были украдены в марте у ФБР.
Также по теме: Победа Apple меняет баланс сил
«Фактор времени показывает, что, (их) версия не имеет смысла», - полагает он.
Как Apple, так и ФБР с ходу заявили, что они не вступали в заговор с целью слежки за гражданами США с помощью UDID. ФБР утверждает, что у него никогда не было этих данных, а Apple – что она никогда не передавала их ФБР.
«Как разработчик приложений BlueToad должна была иметь доступ к информации о пользовательских устройствах, такой как UDID, названия устройств и их типы, - сообщила NBC News в понедельник пресс-секретарь Apple Труди Маллтер (Trudy Mullter). – Разработчики не имеют доступа к информации об учетных записях пользователей, их паролях или кредитных карточках, если пользователь специально не предоставляет им такую информацию».
Blue Toad – малоизвестная частная фирма, однако ее технология затрагивает миллионы пользователей по всему миру. По словам Дехарта, его компания предоставляет услуги по электронному издательству и разработке приложений 6000 различных компаний-издателей и обслуживает более 100 миллионов просмотров страниц в месяц. Дехарт отказался обсуждать деловых партнеров, но заявил, что в их число входит ряд широко известных компаний.
Дехарт сказал, что его фирма не будет связываться с отдельными клиентами и уведомлять их об утечке их личной информации и предоставит партнерам информировать читателей, как им будет удобнее.
Читайте также: Хакеры взломали 400 тысяч паролей пользователей Nvidia
Шутц – аналитик, обнаруживший происхождение данных, - рассказал NBC News, что он вышел на Blue Toad благодаря подсказкам, которые содержались в опубликованной хакерами информации. Помимо UDID, данные Anonymous также содержали имена, данные устройствам владельцами.
«Я провел весь вечер вторника над этим», - сообщил Шутц, работающий на Intrepidus Group – нью-йоркскую компанию, которая специализируется на консалтинге в области обеспечения безопасности мобильных устройств.
По словам Шутца, обработав опубликованные данные, он обнаружил множество устройств с именами, включавшими в себя словосочетание «Blue Toad» или нечто вроде, например, «Blue Toad support». Некоторые из этих названий заставляли предположить, что устройства принадлежали различным службам внутри компании и использовались несколькими ее работниками одновременно.
«Я увидел, что из миллиона устройств несколько появлялись неоднократно и были связаны с Blue Toad, - сказал он. – Когда я закончил работать – поздно ночью во вторник – у меня был список из 19 устройств, принадлежащих Blue Toad», - сказал он. Вскоре после этого он связался с компанией.
UDID – то есть «уникальные идентификаторы устройств» – имеются у айпэдов, айподов и айфонов Apple. Они аналогичны серийным номерам. В прошлом году выяснилось, что многие разработчики приложений использовали UDID, чтобы отслеживать пользователей, и хранили их в базах данных, зачастую объединяя с другой личной информацией. В сочетании с другими данными UDID может помогать следить за тем, как пользователь использует приложение, и за его активностью в социальных сетях, а также выяснять его местонахождение. С помощью идентификатора также можно «продвигать» потенциально опасные приложения в пользовательские устройства Apple.
Также по теме: Почему телевидение Apple не будет таким разрушительным, как многие надеются
Вопрос о том, насколько опасна публикация UDID без дополнительной информации остается спорным. Дехарт говорит, что он не представляет себе, какой практический вред может нанести использование этих данных.
«Честно говоря, насколько мне известно, само по себе разглашение UDID не может нанести вред, - говорит он. – Конечно, я не могу ничего полностью исключать, но на деле, чтобы что-то “продвинуть” на устройство, нужны определенные ключи, определенная авторизация у Apple. Нужно иметь у Apple учетную запись разработчика… Есть множество процедур, специальных мер, которые направлены на то, чтобы не позволить кому-нибудь взять UDID и начать с этой информацией что-нибудь делать».
Пользователи не могут проверить, были ли их UDID в базе Blue Toad, говорит Дехарт. Он рекомендует встревоженным пользователям Apple воспользоваться сайтами, на которых имеются поисковики, позволяющие найти свой UDID среди опубликованных (например, такими, как этот). Однако, по его мнению, чересчур нервничать не стоит.
«Я не хотел бы, чтобы люди начали отключаться, очищать свои устройства или удалять приложения, просто из-за таких опасений, - заявил он. – Зайдите на сайт, проверьте, был ли ваш UDID в базе данных. Если он там есть – решайте сами, как сочтете нужным… Одна из лучших вещей, которые вы можете сейчас сделать – это обновить соответствующее приложение, если для него есть свежие обновления».
Читайте также: Samsung обвиняет Apple в нарушении патентов
Это важно, так как с учетом возможных проблем с личной информацией Apple ранее в этом году рекомендовала разработчикам перестать отслеживать пользователей с помощью UDID. Blue Toad больше не использует UDID в своем программном обеспечении, уверяет Дехарт, и новые версии программ больше не собирают идентификаторы.
Альдо Кортеси (Aldo Cortesi), специалист безопасности, борющийся с использованием UDID, не согласен с Дехартом. Он полагает, что публикация базы данных представляет для пользователей серьезную опасность. Ранее Кортеси с помощью UDID загружался в игровые учетные записи пользователей, получал доступ к их спискам контактов и отождествлял идентификаторы с конкретными личностями. После этого он мог перехватывать учетные записи владельцев гаджетов в «Твиттере» и «Фейсбуке».
«Я опасаюсь, что может появиться связанная с UDID проблема того типа, о котором я говорил. Миллион UDID может быть использован в большом масштабе, - объяснил он NBC News. – Информация, к которой я смог получить доступ, обладает большой ценностью, скажем, для тех, кто занимается мошенничеством или кражей личных данных. Такие злокозненные группировки, как Antisec и Anonymous, способны даже вывесить в сети большое количество личной пользовательской информации просто смеха ради. Мы пока не знаем, какими могут оказаться последствия».
Пользователи, которые боятся, что их UDID были в числе украденных, в сущности, не могут ничего с этим поделать, так как идентификатор невозможно изменить, как меняют украденный хакерами пароль.
Также по теме: Глава Агентства национальной безопасности США просит хакеров о помощи
«С этим ничего не сделаешь, UDID намертво связан с устройством», - говорит Шутц.
Оценивая риск утечки, Шутц проявил сдержанность, отметив, что UDID – лишь часть информации, которая может понадобиться хакерам для атаки на пользователей.
«Однако дорога в тысячу миль начинается с одного шага, - добавил он. – Случившееся может стать первым шагом к большому взлому, который затронет миллион разных людей».
Хакерская группировка Anonymous объявила в «Твиттере» о предстоящей публикации информации 3 сентября, дав инструкции, как получить базу данных. Эти инструкции сопровождались обвинением в том, что ФБР использует UDID для слежки за американцами. Фактически, автор сообщения писал, что идентификаторы выкладываются в сеть исключительно для того, чтобы привлечь внимание к деятельности ФБР. После публикации UDID эти заявления вызвали серьезную шумиху.
«Зачем публиковать личные данные? ... Мы поняли, что никто не обращает внимания, если просто сказать: “Ребята, ФБР использует информацию о ваших гаджетах, и кто, б…., знает какого черта они с ней делают». Простите, но всем пофиг, - заявил хакер из Anonymous в обычном для заявлений группировки стиле. - Мы не знаем, обратят ли внимание на это даже теперь, но заорать: «Б.., ФБР ИСПОЛЬЗУЕТ ИНФУ О ВАШИХ ГАДЖЕТАХ ДЛЯ ПРОЕКТА ПО ОТСЛЕЖИВАНИЮ ЛЮДЕЙ ИЛИ ЕЩЕ ДЛЯ КАКОЙ-ТО Х….», кажется нам лучшим выходом».
Шутц, выявивший источник утечки, говорит, что он не может с уверенностью сказать, правдивы или нет утверждения Anonymous о ФБР.
«С этим связаны определенные вопросы, - утверждает он. – На мой взгляд, вообще в информации, которую вы видите в интернете, следует всегда сомневаться, от кого бы она ни исходила – от Anonymous, от новостных изданий, от политиков, от корпораций. Не стоит сразу же принимать ее за чистую монету и верить всему, что говорят. Кто-то говорит: “Это с компьютера ФБР”, и все верят. Между тем стоило бы сначала подумать».