Hackers acederam a dados de 12 milhões utilizadores da Apple

[Leite28]

An online hacker group associated with Anonymous claims to have posted 1 million Apple Unique Device Identifiers (UDIDs) by breaching FBI security.
A UDID is the unique string of numbers that identifies each iOS device, formerly used by developers to track their app installations across Apple's user base.
In all, AntiSec claims to have obtained more than 12 million UDIDs, including user names, addresses, and notification tokens from a laptop used by an FBI agent. In a missive posted to Pastebin, the hacking group explains how it obtained the data from an FBI agent's laptop:

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of "NCFTA_iOS_devices_intel.csv" turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.​

Although Apple has already said it would begin restricting developer access to the identifiers, the Pastebin post says the group posted the data out of suspicion the FBI was using the UDIDs for nefarious purposes, such has people tracking, as well as to protest the use of UDIDs in general.

We always thought it was a really bad idea. that hardware coded IDs for devices concept should be erradicated from any device on the market in the future.​

Even though it says it has more than 12 million UDIDs, AntiSec says it settled on posting only 1 million, trimming out personal information such as full names, cell numbers, and addresses.

We left those main columns we consider enough to help a significant amount of users to look if their devices are listed there or not. the DevTokens are included for those mobile hackers who could figure out some use from the dataset.
​

via CNET

Já existem alguns sites para confirmar se os nossos UUID fazem parte da lista de 1M libertada pelos AntiSec, no entanto nessa lista constam nomes tipicamente portugueses. Eu não confiei nesses sites manhosos e preferi sacar mesmo a lista, e felizmente não faço parte dela. Isto além de ser muito estranho não é um pouco alarmante? Com os UUIDs conseguem roubar informações pessoais e até a identidade de uma pessoa. Ainda para mais, se é uma lista do FBI, como é que lá estão nomes à português?

 

[myownworld]

Boas eu saquei a lista mas no entanto e infelizmente não entendi a parte de descomprimir a file, e pelo que li o TAR não é só em LINUX que é usado ? Como fizeste para descomprimir em WINDOWS ?

 

[jncunha]

Boas.

Também gostaria de saber onde posso encontrar essa lista... Só me faltava ter lá os meus dados lol.

Obrigado.


Cumps.

 

[OubeLa]

Podes encontrar a lista aí no link que está no artigo da CNET para o pastebin. Depois é aceder um dos links que lá está para fazer download, e executar os passos no Terminal para conseguires ver a lista.

 

[Axxantis]

Mas a lista dos 12 milhões já foi divulgada? É que até há pouco so estava disponível uma amostra de 1 milhão.

 

[Pedro_dias]

Tambem saquei a lista mas depois os outros passos para descomprimir nao percebi.

 

[SpeedDragon]

Para obterem o ficheiro tar (podem abrir com o winrar) tem que usar o openssl para descodificar o ficheiro. O ideal é mesmo usar algum tipo de linha de comandos melhor que a do windows.

 

[skullbock]

Mas a lista dos 12 milhões já foi divulgada? É que até há pouco so estava disponível uma amostra de 1 milhão.

Só divulgaram 1M. Agora pensa-se que afinal foi roubada a um publisher, e não ao FBI. Para verem se os vossos estão na lista podem usar um site tipo este (não vos pede o UDID completo).

 

[jncunha]

Só divulgaram 1M. Agora pensa-se que afinal foi roubada a um publisher, e não ao FBI. Para verem se os vossos estão na lista podem usar um site tipo este (não vos pede o UDID completo).

Obrigado pelo link. Acho que me safei .


Cumps.

 

[Pedro_dias]

Não sei se percebi bem mas só foram afectados ipad's, iphones e ipod's, ou seja só o que tenho ios?

 

[jpfov]

E se estiver lá o nosso? O que podemos fazer?

 

[fireburn]

Alterar dados presumo .. password e cartão de credito se tiver ..

 

[nosense10]

Nao pode ser a apple que é tão segura, como e que isto aconteceu?

 

[JPCarvalhinho]

Foi um parceiro... e não a Apple. E não tem cartão de crédito... é apenas o identificador (hardware) ou o número de série mais ou menos.

JPC

 

[jpfov]

E a password tem?
Tem o nr de serie e nome / morada é isso?

 

[skullbock]

E a password tem?
Tem o nr de serie e nome / morada é isso?

As informações libertadas só contêm o UDID, o código para enviar push notification, o nome do dispositivo e o tipo de dispositivo. As informações que não foram libertadas não tem passwords nem cartões de crédito, podem é conter informações pessoais como nome, morada, nº de telemóvel.

Basicamente o pior que pode acontecer é algum developer pegar nos códigos para push notifications e spammar o milhão de dispositivos. Isto se os códigos ainda forem válidos.

 

[jpfov]

Tenho 3 idevices, e verifiquei agora e o do iphone faz parte da lista. Que me aconselham a fazer?

Update... Acabei de testar noutro site http://thenextweb.com/apple/2012/09/04/heres-check-apple-device-udid-compromised-antisec-leak/ e neste diz que não faz parte da lista....

Em que ficamos

Novo update http://pastehtml.com/udid neste também diz que não faz parte- Parece-me que este sites são banhada

 

[Antr4cite]

O site já referido acima https://lastpass.com/udid/ é de uma entidade fidedigna. Para além disso nem é necessário colocarem todos os caracteres (mínimo 5) para terem uma ideia se o vosso UDID foi comprometido uma vez que existem mais 11 milhões que não foram divulgados.

Cuidado com os sites que não oferecem qualquer garantia de integridade.

 

[Xuta]

O site já referido acima https://lastpass.com/udid/ é de uma entidade fidedigna. Para além disso nem é necessário colocarem todos os caracteres (mínimo 5) para terem uma ideia se o vosso UDID foi comprometido uma vez que existem mais 11 milhões que não foram divulgados.

Cuidado com os sites que não oferecem qualquer garantia de integridade.

O meu iPad e o meu iPod Touch por enquanto estão out..

Para quem não souber ver o UDID http://whatsmyudid.com

 

[jpfov]

O site já referido acima https://lastpass.com/udid/ é de uma entidade fidedigna. Para além disso nem é necessário colocarem todos os caracteres (mínimo 5) para terem uma ideia se o vosso UDID foi comprometido uma vez que existem mais 11 milhões que não foram divulgados.

Cuidado com os sites que não oferecem qualquer garantia de integridade.

Não é bem assim. Um amigo meu comprou um iPad esta semana e neste site, supostamente credível, o UDID dele consta como um dos leaked.
Ora se a lista é de março isso seria impossível.