1200萬筆Apple用戶資料外洩 FBI被入侵了嗎？

[WillKUO72]

http://cloud.trendmicro.com/was-your...aked-fbi-list/

近來討論最熱烈的資安事件，莫過於1,200萬個Apple行動裝置唯一識別碼(Unique Device IDs, UDID)的外洩。UDID是一組由40個字元或符號組成的識別碼，可用來識別每一台iOS終端設備，以便開發人員追蹤使用者的應用程式註冊與使用狀況。

日前，駭客組織AntiSec在網路上公布了100萬台Apple裝置的UDID，並表示這是來自於FBI的檔案，他們從FBI的Regional Cyber Action小組中的Christopher Stangl的筆電，下載了一個名為"NCFTA_iOS_devices_intel.csv"的檔案，其中有1,200萬筆iOS裝置的UDID，包括iPhone、iPad和iPod touche等，網路上所公布的只是其中100萬個，同時也己經取得這些用戶的個人資料，包括姓名、電話以及住址等。

AntiSec為駭客團體Anonymous下的組織，在今年稍早之前，就曾攻擊過隸屬Panda Security防毒公司的Panda Labs公司網站，以及銷售設備給美國警局的New York Ironwork的公司網站。

一位丹麥CISIS安全公司網路安全專家Peter Kruse出面證實了這起外洩事件，他表示，他的3組UDID就被列在AntiSec公布的名單中。

至於被AntiSec竊走的檔案，檔名中的NCFTA（National Cyber-Forensics & Training Alliance），即指美國國家網路刑事鑑識與訓練聯盟，該組織與FBI和其他私人企業合作打擊駭客攻擊和網路詐騙，AntiSec認為，這些UDID是被FBI作為追蹤使用者之用。

對此，NCFTA沒有任何回應。FBI則在9/4發表3點聲明，第一、沒有任何證據顯示該駭客組織是透過FBI竊取資料；第二、該組織內部的筆電也沒有發現任何被入侵的跡象；第三、FBI並未蒐集Apple裝置與用戶的資料。在FBI對外發出回應後的隔天，Apple發言人Natalie Kerris也表示，FBI沒有要求Apple提供公司產品的UDID，而Apple也未曾提供這些資訊給FBI或是其他組織。

安全組織SANS Internet Storm Center的Johannes Ullrich認為，沒有任何資料顯示此次的外洩事件與FBI有關，至於究竟是誰可能會有這樣的資料，目前也無法得知，因為很多應用程式開發者都有UDID的資料庫，這意味著任何組織可以不用透過Apple就能直接取得這些資料。研究UDID超過一年的安全專家Aldo Cortesi便指出，至少有5-10家手機網路廣告與遊戲的業者，擁有超過千萬筆UDID，而其他業者也可能擁有數百萬筆以上的資料。

此外，因為UDID可以連結至使用資料進而辨識使用者身份，因此使用UDID也同樣引起隱私爭議。對於UDID可能引發的問題，Apple則表示，他們已經找到新技術用來取代UDID，預計短期內就不會再使用UDID，可以避免此類的隱私外洩風險。