Хакерская группа Antisec сегодня ночью выложила дамп с миллионом уникальных идентификаторов (UDID) устройств Apple iOS. По сообщениям, записи были взяты из файла, найденного на ноутбуке ФБР в марте.
На второй неделе марта 2012 года ноутбук Dell Vostro, использовавшийся старшим специальным агентом Кристофером К. Стангом из Региональной группы по кибердействиям ФБР и следственной группы ФБР в Нью-Йорке, был взломан с использованием уязвимости AtomicReferenceArray в Java. Во время сеанса командной строки были загружены некоторые файлы из его папки «Рабочий стол», один из них с названием «NCFTA_iOS_devices_intel.csv» оказался списком из 12 367 232 устройств Apple iOS, включая уникальные идентификаторы устройств (UDID), имена пользователей, названия устройств, типы устройств, токены Apple Push Notification Service, почтовые индексы, номера мобильных телефонов, адреса и т.д. поля с личными данными, относящиеся к людям, во многих случаях оказывались пустыми, оставляя весь список во многих частях неполным. ни один другой файл в той же папке не упоминает этот список или его назначение.
Файл, который был найден, как сообщалось, содержал более 12 миллионов записей устройств, включая UDID Apple, имена пользователей, токены push-уведомлений, а в некоторых случаях — имена, номера мобильных телефонов, адреса и почтовые индексы.
Группа выпустила 1 миллион этих записей, но удалила большую часть личной информации. В окончательном релизе содержатся UDID Apple, токены APNS (push-уведомления), название устройства (например, «iPhone Арнольда») и тип устройства (например, «iPhone»). Издание MacRumors смогло подтвердить, что UDID являются подлинными.
Источник данных не совсем ясен, хотя тип данных типичен для той информации, которую разработчик приложений для iOS мог бы собирать для доставки push-уведомлений пользователям. Похоже, что оригинальным вероятным источником информации является разработчик или разработчики приложений, хотя никакой конкретной информации пока нет. Сейчас нет простого способа определить, был ли UDID вашего устройства включен в список, кроме как самостоятельно скачать список.
Реальные последствия утечки, даже если ваш UDID будет найден, не совсем ясны. Сами по себе UDID довольно безвредны в изоляции. Apple ранее подвергалась критике за использование этих глобально идентифицирующих идентификаторов. Однако риски конфиденциальности обычно возникают, когда эти идентификаторы используются в рекламных сетях и приложениях для составления более полной картины активности и интересов пользователя. Но еще в 2011 году сообщалось, что, используя существующие сети, информацию и даже доступ для входа можно получить из UDID. Пока неясно, могут ли выпущенные токены push-уведомлений использоваться каким-либо образом.
