黑客公开FBI持有的100万笔iOS用户个人资料
自911后,美国联邦调查局(FBI)一直以反恐为名,收集平民的个人资料进行调查。然而相关资料保密机制却十分脆弱,有机会被用作其他用途。黑客组织AntiSec在2012年9月4日,公开了他们从FBI探员的笔记本电脑中取得的iPhone/iPad的UDID,证实他们所言非虚。
AntiSec称,他们入侵FBI的笔记本电脑后取得12,367,232个苹果iPhone和iPad的UDID。UDID由40个字符编码组成,用于识别iOS设备,方便开发人员进行应用程式注册和跟踪。AntiSec在网站上公布了其中的100万个,足以证实他们并非空谈。AntiSec表示在2012年3月,他们利用Java的AtomicReferenceArray漏洞,入侵了FBI的电脑并下载部分档案,其中一个名为NCFTA_iOS_devices_intel.csv的档案,件包含了超过1,200万部苹果iOS设备资料,包括UDID、用户姓名、设备名称、设备类型、手机号码、用户地址和邮政编码等。
AntiSec表示每个UDID包含的个人资料都不一样,有部分只包含基本的资料,有的的则包含了详细的个人资料,视乎当初用户在Apple ID上加入了什么内容。公开的100万笔资料已经可以从网站下载,内文中第314到321行显示了下载的路径。档案以纯文字格式储存,但为免所有人太过轻易的取得,AntiSec已经将档案加密,打开时只会看到乱码。原文的325至342行说明了解密的方法,有Linux系统管理经验的朋友一看就会明白。
但如果没有这方面的知识,一位Linux专家Sean MacGuire也在自己的Linkedin公开了一个页面,让大家输入自己的UDID查看有关资料是否在该100万笔记录内。输入UDID后按Submit,出现“Your UDID was not found”的话便表示没问题。