なぜAT&T iPadの「ハッカー」の信念が私たちにとって問題なのか - モバイル - 2019

Anonim

100人以上のiPadオーナーの電子メールアドレスとユニークなデバイスIDを明らかにしたAT&Tのウェブサイトの穴を暴露する責任を負うセキュリティ研究者は、今日連邦罪で有罪判決を受けた。 彼は最大500, 000ドルのバーと罰金に10年の最高の判決を下しています。これは他の人にとってなぜ大きな意味ですか? 彼は実際にこのウェブサイトを "ハッキング"している以上、AT&Tのシステムを実際に "ハッキング"していませんでした。

AT&T iPadハック

26歳のアンドリュー・ウィーヴ(Andrew "weev" Auernheimer)は、今日、ニュージャージー州の連邦裁判所で、コンピュータの不正使用や個人情報の盗難につながるために、1回の陰謀で有罪判決を受けた。 陪審は、評決に達するまでに数時間しかかかりませんでした。

Auernheimerのケースは2010年に戻り、彼自身と同僚のセキュリティ研究者Daniel Spitler(26歳)は、AT&Tのウェブサイトが、ワイヤレスプロバイダーの3Gネットワ​​ークを使用しているiPad所有者の電子メールアドレスを明らかにすることを発見した。 そして、パスワードやコードを壊すことなく、これを行うことができます。 代わりに、必要なAT&Tのシステムはすべて、各iPadに割り当てられた一意のID番号であるICC-IDと呼ばれるものでした。 ICC-IDをAT&Tのウェブサイトに入力すると、登録されたiPadユーザーのメールアドレスが漏れてしまいます。

だから、AuernheimerとSpitlerは、ICC-IDを自動的に入力し、明らかになった電子メールアドレスを収集する「iPad 3G Account Slurper」というプログラムを作成することで、穴がどれくらい深くなったのかを調べることに決めました。 結果:当局によると、ニューヨーク市長マイケルブルームバーグ、元ホワイトハウスチーフ・オブ・ラーム・エマニュエル、ABCニュースのダイアン・ソーヤーなどの著名人のメールアドレスを含む、120, 000以上の電子メールアドレスが明らかになった。

その後、データはGawkerに漏洩し、AT&Tのシステムのセキュリティホールに関する記事が公開されました。 その後、AT&Tは「違反」を確認し、FBIは調査を開始した。 AuernheimerとSpitlerは2011年1月までに請求されました。Spitlerは料金を告訴し、後で和解しました。 Auernheimerはその訴訟と戦い、今日失った。 判決が下った後のツイートで、オーアンハイマーは「ここに有罪判決があることを知っていた」と述べ、彼は「もちろん魅力的だ」と述べた。

AuernheimerとSpitlerが本当に間違っていたこと

正式な費用は別として、AuernheimerとSpitlerの主な問題はAT&Tの明らかな "トローリング"から生じました。 Wiredによって発行されたチャットログでは、このペアはその違反を発見したことを認め、AT&Tを無責任に見せるためにセキュリティホールを使用する計画について冗談を言った。 その後、他の個人とのチャットログは、同社株式が下落するとの前提で、Gawkerの記事に先立ってAT&Tの株式を短くする計画を浮かべていた。 (AuernheimerもSpitlerも短期売却に参加していませんでしたが)

さらにAT&Tは、セキュリティ研究者のための標準的な慣行であるセキュリティホールについて、AT&Tに直接連絡していないと述べた。 最後に、Auernheimerは自分自身とSpitlerを「Goatse Security」(悪名高いgoatseショックウェブサイトの遊び)としてメディアに販売しましたが、実際には正当なサイバーセキュリティ組織ではなく2人だけでした。

要するに、AuernheimerとSpitlerは、AT&Tと彼らが収集したデータを持っている顧客に大規模な動きをしていました。

なぜこれは残りの人にとって悪いのですか?

AuernheimerとSpitlerが彼らにふさわしいものを手に入れたと主張するように誘惑するかもしれないが、Auernheimerの訴追が彼が有罪判決を受けた法律上の大きな欠陥を浮き彫りにしていることを認識しなければならない。

コンピュータ詐欺濫用法(CFAA)と呼ばれる法律では、「許可なくコンピュータに故意にアクセスする」ことは違法であると主張している。問題は、1986年にCFAAが書かれたWebが存在する前に、ほとんどのコンピュータやネットワークにアクセスする際にパスワードが必要になったとき。 それはもはや事例ではありません。あなたがウェブサイトにアクセスするたびに、そのような明示的な許可なしにコンピュータにアクセスしていることになります。

TechNewsDailyによると、陪審員が審議していた間、Auernheimer氏は「法律の定義によって保護されたコンピュータにアクセスするのは誰もがだ」と述べた。 「保護されたコンピュータ」とは、任意のネットワークコンピュータを指します。 あなたは保護されたコンピュータに毎日アクセスします。 あなたはGoogleからGoogleへのアクセス許可を受けたことがありますか? いいえ、誰も持っていません… "

Auernheimerの例は単純なものですが、彼とSpitlerはAT&TのWebサイトにアクセスし、そこから情報を収集しています。誰でも技術的に同じ情報にアクセスできるため、システム違反は起こりませんでした。

サイバーセキュリティの専門家、ロバート・デイヴィッド・グラハム氏は、このような状況のブログ記事を次のように説明しました。

よく知られている法的句は、「法律の無知は防衛ではない」ということです。 しかし、それは実際にここでは適用されません。 あなたは法が存在することを知っています。 あなたはそれを詳細に読んでいるかもしれません。 弁護士に相談することさえあるかもしれません。 誰もが、この行為が「承認された」アクセスと「許可されていない」アクセスの境界を越えているかどうかを正確に伝えることはできません。 誰かがあなたを起訴しようとするかどうかを知るまで、私たちは知らないでしょう。

あなたの偶発的な発見から利益を得ようとするのではなく、単にあなたのブログに投稿して、「これらのばかげているものを見てください」と言ってみましょう。 フォーチュン500として、FBIは注意を払い、あなたの家を探し、すべてのコンピュータを没収し、あなたを逮捕し、CFAAの下であなたを有罪とする。

グラハムが後に説明するように、CFAAの曖昧さ、そして今日のAuernheimerの訴追により、サイバーセキュリティ研究者はセキュリティ上の欠陥を見つけることができなくなり、Web上の残りの部分はWeb上での安全性が低下します。

「私のようなサイバーセキュリティ研究者にとって、これは冷ややかな効果をもたらします。 セキュリティを守るためには、壊れたときに指摘する必要があります」と彼は書いています。 「「セキュリティ上の欠陥」があると、何をするのか? 私たちは頭を下げ続けているのですか? おそらく無罪になっても、なぜリスクを冒すのですか? 静かに保つのが良い。 "

Twitter経由の画像