Apple no las tiene todas consigo. Primero, se dejan olvidado en un bar un prototipo (noticia), y ahora, según nos cuentan en Gawker, un fallo de seguridad ha expuesto al público los datos de 114.000 usuarios de iPad, incluyendo docenas de directores ejecutivos, oficiales militares y líderes políticos. Cualquiera de esos miles de propietarios de la “tabla de la ley” de Apple podría verse afectado por todo tipo de correos basura, intentos de hacking y similares. El fallo ha sido denominado iLeak, aunque poco tiene que ver con Apple, al menos de forma directa.
El fallo expone las direcciones de correo electrónico de aquellos que se suscribieron para reservar el iPad 3G, entre los que figuran personajes tan ilustres del mundo de la información, las finanzas o la política, como la directora ejecutiva del New York Times, Janet Robinson, o incluso el Jefe de Personal de la Casa Blanca, Rahm Emanuel.
En total, como decía antes, y de acuerdo a los datos proporcionados a nuestros colegas de Gawker por el grupo de seguridad web que explotó esas vulnerabilidades en la red de AT&T (operadora americana), unas 114.000 cuentas de usuario pueden haberse visto comprometidas, siendo incluso posible que la información de esta índole de todos y cada uno de los propietarios de un iPad 3G en Estados Unidos haya sido revelada.
La información expuesta incluía las direcciones de correo electrónico de subscripción, emparejada a un identificador empleado para autentificar al suscriptor en la red de AT&T, conocida como ICC-ID (Integrated Circuit Card IDentifier, Circuito Integrado Identificador de Tarjeta) y empleada para identificar la tarjeta SIM que asocia un dispositivo móvil con un subscriptor particular.
AT&T ha cerrado el agujero de seguridad recientemente; pero las víctimas no han sido conscientes de dicho fallo… hasta ahora. El desliz parece haber sido culpa de AT&T, al menos de momento, y eso no hará nada bueno para mejorar las ya de por sí frágiles relaciones de dicha compañía con Apple, ni la opinión general que se tiene de dicha operadora.
Aunque el fallo de seguridad se dio en los servidores de AT&T, Apple carga con el estigma de asegurar privacidad a sus usuarios, los cuales deben proporcionar a la compañía sus direcciones de correo electrónico para activar sus iPads. Dado que los clientes americanos no tienen opción de elegir a su operadora, sino que el iPad 3G está asociado únicamente a AT&T (como aquí Movistar con los iPhone que han ido saliendo al mercado), Apple debería poner un poco más de cuidado a la hora de elegir a sus proveedores de red móvil, sobre todo respecto a temas de seguridad, a la hora de compartir los datos de sus clientes.
¿Fallo de seguridad? ¿Quién? ¿Cómo?
Ésas debieron ser las tres primeras preguntas que salieron de la boca de los responsables de AT&T al enterarse de la noticia. Pasemos a los detalles técnicos, cortesía, una vez más, de la gente de Gawker.
Los datos del subscriptor fueron obtenidos por un grupo que se denomina a sí mismo “Goatse Security”. Su nombre proviene de un meme particularmente grosero, y por temas de decoro no mostraré aquí ninguna imagen ni haré ninguna descripción al respecto. A pesar de lo absurdo del nombre, este grupo tiene un buen currículo bastante imponente, habiendo detectado con anterioridad vulnerabilidades en los navegadores Safari y Firefox, así como por encontrar ciertos fallos en el sistema de puntuaciones de la comunidad de Amazon.
Goatse Security obtuvo los datos de los propietarios de iPad mediante un script en la página web de AT&T, accesible a cualquiera que tenga una conexión a Internet. Cuando se le proporcionaba un ICC-ID, el script devolvía la dirección de correo electrónico asociada. El equipo fue capaz de determinar una amplia franja de códigos ICC-ID basándose en los ICC-ID conocidos de otros iPad 3G, algunos de los cuales se pueden obtener de una manera tan simple como pueda ser navegando por Flickr y otras páginas de almacenamiento de imágenes, en las que se puede apreciar dicho código impreso en la tarjeta, o bien mediante amigos que les mostrasen dicha información, disponible dentro del panel de “Ajustes” del iPad.
Para hacer que los servidores de AT&T respondieran, los chicos de Goatse Security simplemente tuvieron que mandar una determinada cabecera que los identificaba como usuarios de iPad junto con su formulario de petición.
Escribieron un script de PHP para automatizar el proceso de obtención de datos. Dicho script fue compartido a terceros antes de notificar a AT&T el agujero en su sistema de seguridad, así que se desconoce la cifra real de usuarios cuya información ha sido comprometida.
Algunas de las víctimas.
La gente de Gawker se ha quedado boquiabierta, espantada, petrificada… todas las palabras son pocas para describir la impresión que les ha causado el encontrar ciertos nombres en esa lista.
En la lista figuran, entre miles de personas corrientes y “anónimas” (en cuanto al impacto social que causa que su nombre se vea revelado, si bien no anónimas en cuanto a privacidad) correos terminados en @us.army.mil, pertenecientes a gente del Ejército estadounidense, alguno del dominio de DARPA (@darpa.mil), la división avanzada de investigación del Departamento de Defensa, @nasa.gov, que no creo que haga falta explicar a qué agencia pertenece, uno de @mail.house.gov (¿la Casa Blanca, quizá?)… Peces gordos, vamos.
También hay nombres pertenecientes al Departamento de Justicia, el Senado, el Instituto Nacional de Salud…
Fuera del mundo de la política y agencias gubernamentales, también se han visto afectadas figuras de Google, Amazon, AOL y… sí, amigos, Microsoft también, entre otras. La lista es muy larga, y se puede encontrar de todo en ella.
En conclusión, como ya se ha dicho, Apple debería poner un poco más de cuidado a la hora de escoger a la gente con la que firma contratos, que para algo puede permitirse elegir con quién quiere firmarlos.
Con la seguridad no se juega. Esta vez solamente han sido direcciones de correo electrónico; pero podía haber sido peor. Incluso ahora, podría ser peor, hoy en día con tu nombre y tu correo electrónico pueden sacar hasta la última nómina de tu padre (¿verdad, Forocoches?). Quizás no en el caso de los mandamases y peces gordos; pero sí en el caso de la gente de a pie.
Todo este asunto podría salpicar a la empresa y trabar la expansión de su último (bueno, ahora penúltimo) juguetito, y eso no le haría ninguna gracia a Steve. Aunque para eso, los consumidores tendrían que enterarse… Y no parece que AT&T esté muy por la labor de informar, ya que no lo ha hecho hasta ahora. Puede que ni siquiera llegase a informar a Apple al respecto. Verás que risa cuando se enteren de que, en resumen, su operadora asociada «la ha liado parda».
Enlaces: Artículo original en Gawker.com || Página de Goatse Security
Imágenes obtenidas de Gawker.com