Il collettivo hacker Anonymous avrebbe un elenco di 12 milioni di UDID (Unique Device Identifiers) recuperati dal portatile dell’agente federale Christopher Stangl sfruttando la vulnerabilità dell’Atomic Reference Array di Java (CVE-2012-0507, vedi anche Technet). Un file denominato NCFTA_iOS_devices_intel.csv conterrebbe una lista di 12.367.232 identificatori di device iOS di Apple iOS con tanto di user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses ecc. associati all’UDID.
Anonymous ha graziosamente divulgato solo 1.000.001 righe del file, evitando qualsiasi dettaglio personale. L’FBI ha risposto inizialmente del tutto falso:
Statement soon on reports that one of our laptops with personal info was hacked. We never had info in question. Bottom Line: TOTALLY FALSE
— FBI (@FBI) September 4, 2012
Un sofisticato lavoro di investigazione forense sui dati smentisce Anonymous e corrobora le dichiarazioni dell’FBI, indicando che le informazioni siano state acquisite dai database della software house Blue Toad.
Sono stati avanzati dubbi anche sulla risposta di Apple: Non glieli abbiamo dati noi. Anche dopo avere saputo di Blue Toad la situazione ed i rischi connessi all’uso degli UDID rimangono ben noti, come ha ampiamente documentato Aldo Cortesi, consulente presso Nullcube, che nota sconsolato:
As serious these problems are, I’m afraid it’s just the tip of the iceberg. Negotiating disclosure and trying to convince companies to fix their problems has taken literally months of my time, so I’ve stopped publishing on this issue for the moment.
Va notato che lo stesso Anonymous suggeriva la possibilità di una origine risalente a uno sviluppatore:
People whose UDID was on the list released by AntiSec might want to compare their installed apps. A common culprit might be found.
— AnonymousIRC (@AnonymousIRC) September 4, 2012
L’analisi più lungimirante prima di conoscere la verità sulla provenienza dei dati è stata quella proposta da O’Reilly:
Ignoring conspiracy theories, this dataset might be the result of a single developer. Although how it got into the FBI’s possession and the why of that, if it was ever there in the first place, is another matter entirely. I’m going to go on hacking away at this data to see if there are any more interesting correlations, and I do wonder whether Antisec would consider a controlled release of the data to some trusted third party?
In queste situazioni, proprio la mancanza di un soggetto indipendente e affidabile nelle sue dichiarazioni apre la strada a ogni tipo di illazioni, con ricadute negative su tutto il dibattito riguardante la sicurezza.