Dvojici varnostnih raziskovalcev grozi zapor zavoljo prijave napake

Mandi

22. nov 2012 ob 12:08:54

Kljubovanje mobilnim operaterjem zgleda vedno ni najboljša ideja, ker lahko hitro vodi do kakšne kazenske ovadbe za vdor v informacijski sistem, v ZDA pa (zgleda) tudi do obsodbe. Dvojica varnostnih raziskovalcev, znanih pod imenom Goatse Sec, ki je dve leti nazaj izpostavila zoprno varnostno luknjo v AT&T-jevem aktivacijskem postopku za iPade, zdaj grozi do 5 let zapora zaradi "vdora v informacijski sistem".

Namreč, šlo je za 3G različice tablice, te pa so vsebovale tudi svojo SIM-ko, ta pa vsaka svojo identifikacijsko številko (ICC-ID). Izkazalo se je, da 1) da so te številke sekvenčne 2) da je bilo mogoče z obiskom javno dostopnega servisnega URL-ja zgolj na podlagi te številke dobiti ime in priimek ter e-poštni naslov kupca.

Dvojec Andrew Auernheimer in Daniel Spitler je hitro uspel spisati skripto, ki je snela 114.000 takih računov, sicer zgolj za demo, ampak uspešno. Med njimi pa sta potem našla veliko javnih oseb, med njimi Newyorkšega župana Bloomberga, pa Obaminega nekdanjega šefa kabineta Emanuela, mnogo .mil naslovov, in tako dalje.

E-poštnih naslovov nista nikoli zlorabljala, ter tudi ne objavila v celoti. Kljub hecnemu imenu, povezavam s 4chanom in občasnim odkritim trollanjem gre konec koncev še vedno za resno varnostno firmo, ki je tudi prikazala resno varnostno pomankljivost. A nesrečna kombinacija nasprotnika (mastodont od operaterja, proizvajalca tablic) in domnevnih žrtev (washingtonski pomembneži) je naredila svoje. FBI ju je začel preiskovati za kaznivo dejanje vdora v informacijski sistem. Tožilec je vložil obtožnico. In porota ju je pravkar obsodila. Še vedno jima ostane pritožba, a če ne uspeta, ju lahko doleti do 5 let zapora.

Previdno torej s temi državnimi operaterji, shoot-the-messenger mentaliteta je še kako prisotna.