Un fallo de seguridad en la página web de AT&T ha expuesto más de 114.000 direcciones de correo electrónico de compradores del iPad 3G, entre los cuales se puede encontrar las direcciones de altos cargos militares, personas en puestos importantes en empresas privadas como puede ser el caso de Janet Robinson, CEO de The New York Times o de personas importantes dentro del mundo de la política como Rahm Emanuel, Jefe de Personal de la Casa Blanca o Michael Bloomberg, alcalde de Nueva York.
El fallo de seguridad ha sido descubierto Goatse Security y consistía en un script al que se le suministraba un ICC-ID y este respondía en AJAX dentro de esta aplicación en la página con una secuencia de comandos en la que se encontraba la dirección de correo electrónico asociado al cliente del iPad 3G con dicho ICC-ID.
Gracias a todas las imágenes del iPad que circulan por Internet los investigadores de Goatse Security lograron saber una gran franja de ICC-ID y lanzaron una petición por medio de un script PHP para automatizar la recolección de datos, de este modo cualquier otra persona ha podido tener acceso a los mismos datos obtenidos por Goatse Security.
Esto no solo pone en apuros a AT&T sino también a Apple, que tiene la responsabilidad de garantizar la privacidad de sus clientes, quienes ahora se quejaran a estas dos empresas con todo el derecho, aunque el fallo de seguridad estuviera limitado a los servidores de AT&T.
AT&T fue informado el lunes por un cliente de la posible exposición de datos. La única información que puede derivarse de los ICC-ID es la dirección de correo electrónico asociada a dicho dispositivo.
Esta cuestión fue escalada a los niveles más altos de la empresa y se corrigió el martes, desactivando la característica que proporciona las direcciones de correo electrónico. Seguimos investigando e informaremos a los clientes cuya dirección de correo electrónico y ICC-ID haya sido obtenida mediante este método
Nos tomamos muy enserio la privacidad de nuestros clientes y al mismo tiempo hemos arreglado este problema, pedimos disculpas a los clientes que se hayan visto afectados.
Esto es lo que comenta la operadora estadounidense en un comunicado realizado después de conocerse este fallo de seguridad pidiendo disculpas a los clientes, los cuales en algunos casos han tomado medidas muy rápido, como el caso de New York Times que mediante un correo electrónico ha pedido a todos sus empleados que desconecten de la red 3G su iPad hasta nuevo aviso.
Aunque los datos obtenidos tan solo sean el número de identificación del iPad y la dirección de correo electrónico es un fallo muy grave, que no solo puede hacer a todos estos usuarios les llegue cantidades ingentes de SPAM sino que podrían llegar a usarse para obtener más datos de estas personas.
En Gizmóvil: Miles de datos de usuarios de iPad en AT&T expuestos