Уязвимость в JAVA позволила выкрасть у ФБР данные о 12 миллионах владельцев устройств Apple

    Во второй половине марта 2012 года уязвимость AtomicReferenceArray позволила проникнуть на ноутбук специального агента ФБР Кристофера Стэнгла и похитить с его рабочего стола файл под названием NCFTA_iOS_devices_intel.csv, который содержал список из 12 367 232 уникальных идентификаторов (UDID) устройств на iOS, имена владельцев, названия и тип устройств, токены APN и проч.

    Группа Antisec выложила в открытый доступ информацию об 1 000 001 устройств, убрав конфиденциальную информацию, и оставив только поля для идентификации устройств.


    Инструкция по извлечению
    1. Проверьте MD5:
    e7d0984f7bb632ee19d8dda1337e9fba
    

    2. Дешифруйте файл с помощью openssl:
    openssl aes-256-cbc -d -a -in file.txt -out decryptedfile.tar.gz
    

    Пароль:
    antis3cs5clockTea#579d8c28d34af73fea4354f5386a06a6
    

    3. Затем распакуйте:
    tar -xvzf decryptedfile.tar.gz
    

    и проверьте целостность, используя вторую часть пароля выше в качестве MD5-суммы:
    579d8c28d34af73fea4354f5386a06a6
    

    Проверить, есть ли ваш ID в списке можно здесь (уверяют, что этот сайт используется исключительно для проверки, но не для сбора данных) и его автор выступает с инициативой найти того, кто слил информацию ФБР.

    Недавно Apple начала блокировать приложения, пытающиеся получить доступ к UDID, одновременно с возросшим вниманием к безопасности со стороны правительства и обычных пользователей.
    Share post

    Comments 70

      +24
      12 миллионов данных — отличная формулировка!
        +36
        Уплачено сотнями нефти.
          +6
          fixed же
          +9
          А зачем ФБР такие данные?
            +11
            Они узнали о Data Mining и решили что теперь уже точно лишних данных не бывает.
              +3
              +7
              Прочитал эту новость утром, скачал дамп и сделал страницу, на которой можно ввести UDID и посмотреть, был ли он среди утекших: pastehtml.com/udid

              Коллеги на Hacker News склоняются к тому, что в списке есть айпад Обамы: pastehtml.com/udid?udid=473d6e1ebf0b100ed172ce5f69c97ba6c8f12ad5

              Параноики могут вводить UDID не полностью (дабы не засветить его), а первые 5 символов.
                –6
                Зададимся вопросом, чего они добились подобной акцией?
                  +17
                  По-моему, такими акциями привлекают внимание к проблеме сбора личной информации (в данном случае правительством). Наверное, ФБР придется оправдываться и объяснять, зачем им такие личные данные нужны были.
                    +5
                    ФБР и «оправдываться»? Да ладно! :) Скажут что-нибудь о национальной безопасности и анти-тероризме и все дела. :)
                    • UFO just landed and posted this here
                    • UFO just landed and posted this here
                        0
                        Помнится мне в истории когда Яндекс по своим обязанностям выдал инфу о платежах в Я.Деньги ФСБшникам, то Яндекс не особо оправдывался, а просто озвучил массам о своих обязательствах перед госсулжбами. Думаю, что здесь точно такая же картина.
                    +23
                    Порадовали коментарии: «Another interesting fact: of this data set, 166 devices are named “Titanic” or “The Titanic” because of the “Titanic is syncing” joke.»
                      +8
                      Тонкий английский юмор
                        +2
                        С пятого раза дошло))
                          +1
                          Блин, пожалуйста объясните дураку.
                            0
                            Ваш КО не бросит вас:

                            Подразумевается, что при подключении устройства к компьютеру произойдет синхронизация через iTunes и будет надпись, например «Your iPod is syncing». В случае если устройству дать свое имя, например Titanic, соответственно появится надпись «Titanic is syncing».
                              +3
                              Ладно, уточню вопрос: «Что смешного во фразе „Titanic is syncing“?
                                +1
                                подозреваю, в созвучности syncing и sinking
                                  +1
                                  «Sinсing The Titanic» напоминает «Sinking The Titanic». Погружение Титаника.
                                    0
                                    Не погружение, а Титаник тонет. Ваш К.О.
                                      +1
                                      Ничего не поменялось :) где лопата?
                                        +2
                                        Такой вот у них юмор =)
                        +4
                        Ай — яй яй, а как эта информация была собрана ФБР?
                          +12
                          Angry Birds на хвосте принесли.
                          –6
                          Моих в списке нет. Выдохнул :D
                            +12
                            а если бы были, то что? не смогли бы выдохнуть? ;)
                              –5
                              Это навело бы на определенные мысли.
                              0
                              Они не всё выложили:

                              the original file contained around 12,000,000 devices. we decided a million would be enough to release.
                              we trimmed out other personal data as, full names, cell numbers, addresses, zipcodes, etc.
                              not all devices have the same amount of personal data linked. some devices contained lot of info.
                              others no more than zipcodes or almost anything. we left those main columns we
                              consider enough to help a significant amount of users to look if their devices
                              are listed there or not. the DevTokens are included for those mobile hackers
                              who could figure out some use from the dataset.
                              • UFO just landed and posted this here
                                –14
                                Хорошо, что меня в этом списке нет
                                  +13
                                  Держите нас в курсе.
                                    +5
                                    Там еще 11 тысяч записей ожидают публикации, не волнуйтесь
                                      0
                                      И там тоже нет )
                                      Только, если я не ошибаюсь, не тысяч, а миллионов.
                                        +8
                                        11 миллионов.
                                        0
                                        Странная формулировка комментария, а не выедут ли за Вами?
                                          –2
                                          Это вряд ли )
                                            0
                                            И подарят iDevice, чтобы и он был в базе
                                          +1
                                          «Another interesting fact: of this data set, 166 devices are named “Titanic” or “The Titanic” because of the “Titanic is syncing” joke.»
                                            +2
                                            Расскажите простому смертному что это за шутка такая интересная
                                              0
                                              Погуглил. Довольно много постов на эту тему с тегом iPhone humor.
                                                +10
                                                Sync (синхронизироваться) и sink (тонуть) являются омофонами. Шутка построена на каламбуре, когда при синхронизации айфона по имени Титаник мы вслух читаем: «Титаник тонет».

                                                Некто из англоязычных комментаторов пишет, что 166 устройств из украденного списка были названы своими пользователями Титаник ради такого прикола.
                                              +1
                                              Это что-то из серии назвать устройство «Device not found» или «Disconnected» и наблюдать за реакцией людей, которые работают с ним по Bluetooth. :)
                                              +2
                                              Из разряда «газ для Беларуси подключен через USB» и «газ для Беларуси отключен через USB»
                                                +1
                                                не знаю почему, но смеялся минут пять, спасибо)
                                                Если подумать, существование в этой шутке колорита и контекста в тонны больше, чем в обсуждаемой. Отсюда смех.

                                              +1
                                              Но зачем Кристоферу Стэнглу понадобились эти данные в формате CSV-файла на рабочем столе его ноутбука?..
                                                +37
                                                он сравнивал производительность по открытию файлов MS Excel по сравнению с LibreOffice и OpenOffice
                                                +2
                                                автор выступает с инициативой найти того, кто слил информацию ФБР

                                                Мне одному стало смешно от этой фразы? Автор сей фразы вообще в курсе, где находится Apple и что такое ФБР?
                                                  +3
                                                  И что? США это же не Россия, где компании сразу сливают всю инфу спецслужбам по их устной просьбе.
                                                    +2
                                                    Далеко не все реагируют на устные просьбы.
                                                  +5
                                                  в исходном тексте на Pastebin
                                                  Support to Pussy Riot: Hang in there, babes! Resistance forever.

                                                  неожиданно :)
                                                    +1
                                                    В феврале Кристофер Стангл уже был замечен в другой утечке информации спецслужб.
                                                      +1
                                                      Вы уверены, что он-же? Не нашел там имени.
                                                        +2
                                                        «Stangl, Christopher K.» <Christopher.Stangl@ic.fbi.gov>


                                                        Anonymous за ним уже давно присматривало. Вот он и попался.
                                                      +3
                                                      И что характерно, csv файл. На рабочем столе. Улыбнуло. :)
                                                        +3
                                                        Мог бы записать на дискету и в сейф положить.
                                                        +7
                                                        На кой ляд нужны UDID-ы? Объясните мне. У меня их 4 000 000 валяются, могу отдать за 4 доллара. Или внятное разьяснение.
                                                          +3
                                                          Соответсвие с именами владельцев есть? Другие данные? А то удобно — человек игру твою запускает — а игра ему «Приветствую вас Имеряк Имярекович»
                                                            0
                                                            Game Center так и пишет. UDID привязан к железке. Имя ты можешь поменять на iPhone за 1 секунду, начиная с версии 4.0. Никакого соответствия нет. Короче, UDID-ы были удобными штуками, а их взяли и запретили. Я лично негодую.
                                                          +1
                                                          FBI уже сказали что все это выдумки, никто у них ничего не крал и данных с UDID у них даже и не было никогда…

                                                          www.wired.com/threatlevel/2012/09/fbi-says-laptop-wasnt-hacked-never-possessed-file-of-apple-device-ids
                                                            +5
                                                            You didn't see anything
                                                              +1
                                                              FBI уже сказали что все это выдумки, никто у них ничего не крал и данных с UDID у них даже и не было никогда


                                                              Еще бы… А что они еще должны были сказать?
                                                              +2
                                                              И ни слова о Java :)
                                                              –2
                                                              С Титаником ну прям Петросянство в чистом виде :-\
                                                                +1
                                                                Ложная тревога: Американская издательская компания Blue Toad призналась в утечке данных устройств компании Apple, опубликованных в начале сентября хакерами из группы AntiSec.

                                                                Only users with full accounts can post comments. Log in, please.