US-Kunden, die ein iPad mit UMTS-Funktion gekauft haben, dürften diese Meldung alles andere als erfreut zur Kenntnis nehmen: Der französischen Hackergruppe Goatse Security ist es nach einem Bericht des US-Blogs Gawker gelungen, 114.000 E-Mail-Adressen aus der iPad-Kundenkartei des US-Providers AT&T zu stehlen.
Apple-Kunde beim US-Verkaufsstart im April: Hacker konnten 114.000 E-Mail-Adressen von iPad-Nutzern entwenden.
(Foto: afp)AT&T vertreibt das UMTS-iPad in den USA exklusiv, weshalb sich in seinen Datenbanken alle US-Kunden befinden dürften, die sich für dieses Modell entschieden haben. Der Angriff erfolgte allerdings nicht auf das iPad selbst, sondern auf die Webseite von AT&T. Die Sicherheitslücke lag dabei im Identifizierungssystem: Jede iPad-SIM-Karte besitzt eine Seriennummer, die Nutzer mit ihrer E-Mail-Adresse verknüpfen können, um schneller auf Kundendaten zugreifen zu können.
System gab Adresse heraus
Diese Verknüpfung nutzten die Hacker aus, indem sie ein Programm schrieben, das die AT&T-Identifizierungsseite automatisiert mit Seriennummern bombadierte. Das Muster der Nummern hatten sie aus dem Vergleich verschiedener iPad-SIM-Karten herausfinden können. Durch einen Fehler auf der Seite gab AT&T bei jedem Treffer die entsprechende E-Mail-Adresse des Benutzers heraus.
Zu den Betroffenen zählen laut Gawker verschiedene Prominente, unter anderem New Yorks Bürgermeister Michael Bloomberg, New-York-Times-Geschäftsführerin Janet Robinson und Filmproduzent Harvey Weinstein. Sogar Obamas Stabschef Rahm Emanuel und verschiedene US-Militärangehörige sollen unter den Opfern sein.
Da persönliche Daten wie Wohnadressen oder Kreditkartennummern nicht ausgespäht wurden, sind die Folgen überschaubar. Allerdings wäre es möglich, den E-Mail-Adressen Spamnachrichten zukommen zu lassen oder sie zu verwenden, um falsche Identitäten vorzutäuschen. In der New York Times sagte ein Sicherheitsexperte, es könne über die SIM-Seriennummer möglich sein, den Standort eines Geräts zu finden - allerdings nur über die Verknüpfung mit weiteren Datenbanken, die in der Regel nicht an das Internet angeschlossen sind.
AT&T bestätigt Lücke
Die Motivation der Hackergruppe dürfte darin gelegen haben, die Sicherheitslücke an die Öffentlichkeit zu bringen. Goatse Security hatte in der Vergangenheit unter anderem Fehler im Amazon-Produktbewertungssystem und den Browsern Safari und Firefox aufgedeckt.
AT&T hat das Sicherheitsleck inzwischen bestätigt. Es sei nach Hinweisen von Kunden bereits am Dienstag geschlossen worden. Allerdings dürfte die Panne Wasser auf die Mühlen von Kritikern sein: Derzeit beschweren sich viele Kunden beim Unternehmen, weil sich das Breitband- und Mobilfunknetz von AT&T durch die große Zahl an Smartphone-Nutzern zeitweise äußerst instabil zeigt.
Noch am Dienstag hatte AT&T-Chef Randall Stephenson auf einer Konferenz Privatsphäre zum höchsten Gut des Unternehmens erklärt: "Wer einmal das Vertrauen der Kunden in den Schutz privater Daten verliert", sagte er, "hat es sehr schwer, sich davon zu erholen."
Von Apple darf Stephenson sich bei dem Versuch, Vertrauen zurückzugewinnen, offenbar keine Unterstützung erwarten: Das Unternehmen will sich bislang zu der Panne nicht äußern.
