Samstag, 23. Februar 2013

USA: Hacker wegen Datenklau bei AT&T verurteilt

Ein Bundesgericht im US-Bundestaat New Jersey hat einen 26-jährigen Hacker zu einer mehrjährigen Haftstrafe verurteilt. Der junge Mann konnte laut einem Bericht der Wired im Jahr 2010 über eine Website des Telecom-Riesen AT&T private E-Mail-Adressen von rund 120.000 iPad-Besitzern abrufen. Im gleichen Jahr wurden er und ein anderer beteiligter Hacker für die Tat festgenommen.

Die beiden hatten laut Bericht eine Sicherheitslücke in einer Website von AT&T entdeckt. iPad-Nutzern, die in das 3G-Netz des Telecomriesen eingebucht waren, wurde auf der Seite ohne ihr Zutun die E-Mail-Adresse angezeigt, die sie bei der Registrierung ihres AT&T-Accounts angegeben hatten. Die Geräte wurden dabei über die Seriennummer der eingelegten SIM-Karte (ICC-ID) identifiziert und dem jeweiligen Nutzer zugeordnet.

Die beiden Hacker sollen diesen Mechanismus mit einem selbstentwickelten PHP-Script ausgenutzt haben, das sie "iPad 3G Account Slurper" nannten. Damit generierten sie vermutlich auf Basis bekannter ICC-IDs durch Hochzählen weitere Seriennummern und imitierten das Verhalten der iPads, indem sie den User Agent fälschten.

So konnten sie die ganzen Mailadressen erbeuten, darunter auch die von zahlreichen Prominenten wie etwa dem New Yorker Bürgermeister Michael Bloomberg. Informationen über diese Sicherheitslücke spielten sie dann zunächst dem Newsportal Gawker zu, das ausführlich darüber berichtete.

AT&T warf den beiden Hackern laut Wired vor, nicht direkt informiert worden zu sein, sondern erst aus zweiter Hand von der Lücke erfahren zu haben. Chatprotokolle der Hacker, die den Strafverfolger vorliegen, sollen außerdem belegen, dass die beiden jungen Männern nicht nur Sicherheitslücken aufdecken wollten, sondern auch auf finanzielle Vorteile aus den erbeuteten Daten spekulierten. (axk)


View the original article here

0 Kommentare:

Kommentar veröffentlichen