クレジット:
2010 年 4 月にオリジナルの 3G 対応 iPad がリリースされてから 5 週間後、Apple と AT&T は大規模なデータ侵害に見舞われ、数十万の早期導入者の電子メール アドレスが流出しました。
恥ずかしいこと違反ある意味、AT&T 自身が作ったものの 1 つでした。
3G iPad が AT&T の Web サイトにアクセスすると、iPad は一意の ID 番号を送信して AT&T サイトの新しい URL を生成し、その ID 番号に関連付けられたユーザー情報を AT&T のデータベースから呼び出します。
AT&T Web サイトが iPad に読み込まれるまでに、ユーザーには、iPad のセットアップ時に指定した自分の電子メール アドレスがすでに AT&T Web ページに入力されているのが表示されます。
データを接続する
6 月初旬、不正グループの 2 人のハッカーが電話をかけてきました。ヤギのセキュリティ、または GoatSec は、iPad ID をランダムに推測して URL に組み込むことで、AT&T サイトをだまして顧客の電子メール アドレスを収集できることを発見しました。
彼らはコンピュータ用のスクリプトを作成し、114,000 個のアドレスを収集しましたが、何も侵入したり、単一のアドレスをクラッキングしたりすることはありませんでした。パスワード。
最後の詳細が重要です。 AT&T がサービスを設定した方法により、電子メール アドレスはすでに公開され、一般公開されていましたが、見つけるのは困難でした。
他のページからリンクされていない Web ページに例えることができます。 URL がわかっていれば見つけることができますが、そうでない場合はページは非表示のままになります。
GoatSec は、すでにオンラインにある情報を見つけて編集しただけだと満足しました。そしてその情報はダイナマイトでした。
そこには、マイケル・ブルームバーグ・ニューヨーク市長、ABCニュースキャスターのダイアン・ソーヤー、エンターテイメント界の大御所ハーベイ・ワインスタイン、当時バラク・オバマ大統領のホワイトハウスを務めていた現シカゴ市長ラーム・エマニュエルなど、著名な政治家やビジネスリーダーの電子メールアドレスが含まれていた。参謀長。
電子メールを収集した後、ゴートセックはメディアでこの事件を公表することを期待して、メディア組織に関連する電子メールアドレスを持つリストに載っている数名に連絡を取ろうとしたが、引き受け手が見つからなかったとされている。
AT&Tは、この時点で、おそらくGoatsecから連絡を受けた顧客から侵害のことを知ったと述べた。
侵害は公表するがデータは公表しない
Goatsec はメディア ゴシップ ブログ Gawker に目を向けました。2010 年 6 月 9 日にこの記事を発表しましたGoatsec から完全なリストを直接受け取った後。 AT&Tは前日にすでにセキュリティ・ホールを塞いでいた。
GoatSec も Gawker も機密情報を公に公開したことはありません。それにもかかわらず、連邦検察は 2011 年 1 月、GoatSec メンバーの 2 人、アンドリュー・オーアンハイマー (別名「ウィーヴ」) とダニエル・スピトラー (別名「ジャクソンブラウン」) を、許可なくコンピュータにアクセスする共謀の罪で起訴した。1986 年のコンピュータ詐欺および悪用法 (CFAA)、そして詐欺。
スピトラー氏は2011年6月に司法取引を行い、アウアンハイマー氏に対する訴訟で検察を支援することに同意した。アウアンハイマー氏の裁判は今年11月13日に始まり、感謝祭までに終了する可能性がある。
その短い期間が、インターネット活動家や政策の専門家の注目を集めました。この訴訟は、多くの活動家や専門家がこの法律には広すぎる表現と深刻な定義の欠如があると主張しているCFAAに、ついに明確さをもたらすかもしれない。
批評家らは、CFAAは網を広げすぎており、軽微ないたずら者やいかがわしい行為を処罰しているが、最終的には役に立つと主張している。バグハンター。
CFAA は、「保護されたコンピュータから、許可なくコンピュータにアクセスしたり、許可されたアクセスを超えたりすること」を違法としています。
インターネットが登場する前の 1986 年にはそれが理にかなっていたかもしれませんが、今日では信じられないほど曖昧です。
TechCrunch が指摘したように、「保護されたコンピュータ」とは、「州間の通商または通信」に影響を与えるコンピュータとして定義されており、そのほとんどには以下のものが含まれます。マイクロプロセッサとネットワーク接続を備えたすべてのデバイス。
その曖昧さがアウアンハイマーを現在の状況に陥らせたかもしれないが、それが彼をそこから抜け出す可能性もある。
アウエルンハイマー氏は、公開されているログイン ページに動作する URL リクエストを送信したときに、「許可なくコンピュータにアクセス」したのでしょうか?法律では「アクセス」をどのように定義していますか?許可を与えるのは警察でしょうか、AT&Tでしょうか、それとも個々のiPad所有者でしょうか?それは明らかではありません。
この訴訟が木曜日までに決着しない場合、最高裁判所まで争われる可能性がある。
これまでのところ、第4巡回控訴裁判所と第9巡回控訴裁判所は、アウアンハイマー氏の行為を刑事責任から除外する狭い定義をこの法律に与えている。しかし、第 5 巡回裁判所、第 7 巡回裁判所、および第 11 巡回裁判所は、より広い解釈を認めました。
しかし、たとえ有罪判決を受けたとしても、アウアンハイマー氏にはまだ最後の一手が残っている可能性がある。 GoatSecは、アウアンハイマー被告が有罪判決を受けた場合、暗号化された「保険ファイル」の鍵を公開すると約束した。
