O problema que expôs 114 mil endereços de e-mail de usuários do iPad estava no site da AT&T – segunda maior prestada de serviços de telefonia móvel nos EUA. Para ter acesso ao endereço, bastava acessar uma determinada página no site da operadora. Esses endereços é que foram descobertos: curiosos testaram todos os endereços possíveis, para então coletar os endereços de e-mail naqueles que deram certo.
Ao ligar o iPad 3G na rede, o endereço de e-mail do usuário era automaticamente preenchido para a autenticação. Foi essa pequena facilidade que permitiu que os endereços de e-mail de 114 mil usuários de iPad pudessem ser comprometidos.
O endereço de e-mail do usuário era baixado diretamente do site da AT&T sem nenhuma verificação. O único código enviado à operadora era o ICC-ID, um número único que identifica o chip do cartão microSIM usado nos iPads. A reação da AT&T ocorreu ainda antes que o problema fosse totalmente analisado e não se sabe se qualquer outra informação poderia ter sido vazada.
Ao contrário do que informou o site Valleywag, da Gawker Media – a mesma companhia que arranjou uma briga com a Apple devido ao protótipo do iPhone 4 que foi perdido por um engenheiro –, não há comprovação de que qualquer informação “confidencial” foi roubada. Apenas endereços de e-mails foram obtidos. O tom da reportagem, que aparentemente tenta criticar a Apple, dizendo que essa foi a “maior brecha” da companhia, na verdade funciona contra sua premissa: se a brecha mais grave é revelar alguns endereços de e-mail, então os outros são ainda menores.
Um dos membros do Goatse Security conhecido como “Rucas” disse ao G1 que a falha foi descoberta quando um dos membros do grupo, cujo nome não foi revelado, comprou um iPad. Quando ligou o aparelho, notou que algumas informações já estavam preenchidas, sem ele nunca ter digitado nada. “Daí foi simples ver como os dados eram transmitidos dos servidores da AT&T para o iPad”, explica Rucas. Os dados que o iPad baixava são colocados no banco de dados da AT&T durante o registro do cliente para o plano de dados.
Goatse Security (GS) foi o grupo que levou a público o erro por meio da Valleywag. O código criado para capturar os endereços já foi disponibilizado na internet.
Não foi difícil descobrir como os números de ICC-ID eram formatados – qual tipo de regra ou sequência eles seguiam. “O ICC-ID está estampado no cartão SIM [para conectar a rede 3G] e pode ser visto pelo próprio iPad. Olhamos nossos SIMs e fotos de outros on-line”, afirma Rucas. Depois bastou criar o código que acessava o site da AT&T repetidamente, uma vez com cada ICC-ID, para coletar os endereços de e-mail dos cartões válidos.
Além dos endereços de e-mail, nenhuma informação foi coletada. “Nós ainda estávamos analisando as implicações da falha quando eles a perceberam e bloquearam, ainda antes que pudéssemos alertá-los”.
“weev”, um dos integrantes do grupo, já foi citado em outras matérias do grupo Gawker Media, que deu a notícia como “exclusiva”. Ele, assim como outros membros, faz parte da GNAA, a “Associação de Gays Negros da América”. São pessoas que passam boa parte do tempo on-line tentando realizar “trotes” ou trolls. Entre os membros do grupo, e um dos principais da GNAA, está um desenvolvedor do Linux Debian. O “ex presidente” da GNAA, timecop, é conhecido na internet por fazer parte do Dattebayo – fãs que realizaram traduções dos desenhos japoneses Naruto e Bleach.
No blog da GNAA, uma postagem da semana passada fala sobre ativação dos cartões SIM do iPad, usando as mesmas técnicas que foram usadas no código criado para capturar os e-mails.
A relação da Goatse Security com os “trolls” da internet explica o nome do grupo, que vem de um famoso “shock site”, como são chamadas as páginas cujo conteúdo busca chocar, apavorar ou assustar seus visitantes. Até mesmo este colunista foi alvo de um “flood” enquanto apurava a reportagem.
Para Rucas, o problema sobre revelar e-mails – alguns de pessoas importantes no governo e no exército norte-americano – é que ataques direcionados podem ser realizados quando uma brecha for descoberta no iPad.
No entanto, se esses “VIPs” podem copiar dados sigilosos para o iPad, o governo norte-americano tem ainda outros problemas de segurança, na opinião desta coluna. Mas o FBI está já está investigando o caso. A lista de e-mails obtida pela Goatse Security não foi publicada; Rucas admite que, a essa altura, publicá-la seria “legalmente questionável”.
Pouco antes de fechar a reportagem, o G1 conseguiu falar com Andrew Auernheimer, o “weev”. Ele disse que, devido à investigação do FBI, a conversa provavelmente estava sendo monitorada. Advertiu contra as declarações de Rucas: “bem, eu amo o Rucas, mas ele é um tanto bêbado e inventa coisas quando não sabe as respostas”. “weev” explicou que o iPad não foi necessariamente comprado, mas “adquirido de alguma forma”. O G1 apurou que JacksonBrown, também do GS, trabalha em uma loja da Apple.
