15.06.2010, 15:39 Uhr
iPad-Hacker verteidigen sich
Nachdem sie 114'000 E-Mailadressen von iPad-3G-Kunden in den USA geknackt haben, haben sich die Hacker zu Wort gemeldet. Sie sehen die Aktion als "verantwortungsbewussten Dienst für die Öffentlichkeit".
Die Hacker-Gruppe Goatse Security, die 114'000 E-Mail-Adressen von iPad 3G-Besitzern ausspähten, beteuerten dabei, dass die Aktionen ethisch und moralisch vertretbar und legal waren. Mit einem automatischen PHP-Skript griffen die Hacker auf AT-T-Servern auf ICC-ID und zugehörigen Adressen von iPad-3G-Kunden zu, indem sie ein öffentlich bei AT-T erhältliches Dienstprogramm einsetzten. AT-T hat dieses Programm am letzten Dienstag deaktiviert - einen Tag, bevor die Aktion auf der Valleywag-Webseite veröffentlicht wurde.
In einem Telefon-Interview mit dem IDG-News-Service verteidigte Escher Auernheimer nun diese Aktion als ethisch und bezeichnete den Bericht als "verantwortungsbewusste Veröffentlichung". Der Begriff wird im Sicherheitsjargon dann eingesetzt, wenn den Verantwortlichen Gelegenheit gegeben wurde, die Sicherheitslücke zu stopfen, bevor der Hack veröffentlicht wird. "Unser Bericht war im Interesse der Öffentlichkeit. Jeder mit einem Exploit für Safari hätte auf die Information zugreifen können und Ziel war, dass AT-T die Lücke umgebend schliesst.[...] Die Information konnte ohne Passwort-Eingabe von jedermann im Internet erlangt werden - es war also kein "Einbruch" notwendig", erklärte Auernheimer.
Goatse gab die Information nicht an AT-T, sondern zunächst an Dritte weiter, die daraufhin AT-T kontaktierten. Auernheimer verteidigte diesen Umweg damit, dass so AT-T die Veröffentlichung der E-Mail-Liste durch Goatse nicht verhindern konnte.
Blogger beschwerten sich bei Goatse, dass der Bericht exklusiv von Gawker und Valleyvag veröffentlicht wurde. Auernheimer gab in dem Interview an, dass Goatse eine Reihe von Medienanstalten kontaktierten, die sich auf der E-Mail-Liste befanden, wie unter anderen auch Reuters und Fox News. Aber nur Gawker zeigte Interesse an dem Bericht und stellte eine Reihe von Mitarbeitern zur Verfügung, um die Sicherheitslücke und E-Mail-Liste zu untersuchen.
AT-T hat Anfang letzter Woche bestätigt, dass ausschliesslich die ICC-IDs und E-Mail-Adressen von iPad-3G-Kunden betroffen sind. Mittlerweile hat sich das FBI eingeschaltet und ermittelt, ob Goatse mit der Veröffentlichung gegen US-Gesetze verstiess. Laut Auernheimer wurde jedoch bisher kein Mitarbeiter von Goatse kontaktiert. AT-T hat wie auch Apple bisher jeden Kommentar abgelehnt. In der Stellungsnahme zur Sicherheitslücke erwähnt der Netzbetreiber keine illegale Aktivität, sondern kommentiert lediglich, dass "die Person oder Gruppe, die die Lücke entdeckten, sich nicht mit AT-T in Verbindung setzten."