Un hacker accusé de crimes fédéraux après avoir obtenues des informations personnelles de plus de 100 000 possesseurs d’iPad 3G du site web d’AT&T a été reconnu coupable.

Andrew Auernheimer, 26 ans, a été déclaré coupable par la cour fédérale de New Jersey d’usurpation d’identité et de conspiration pour accéder à un ordinateur sans autorisation.

L’année dernière, Andrew Auernheimer et Daniel Spitler ont été inculpés pour avoir découvert une faille dans le site Internet d’AT&T en 2010 qui permettait à n’importe qui d’obtenir les adresses mails et les ICC-ID des utilisateurs iPad. Le ICC-ID est un identifiant unique qui est utilisé pour authentifier la carte SIM d’un client possédant un iPad au sein du réseau AT&T.

Andrew Auernheimer et Daniel Spitler ont découvert que le site d’AT&T divulguait des adresses électroniques à toute personne qui lui apportait une ICC-ID. Ils ont donc alors écrit un script qui imitait le comportement de l’iPad 3G contactant le site Internet dans le but de récolter les adresses e-mails des utilisateurs d’iPad. Lorsque leur script PHP recevait un ICC-ID contenu dans une requête http, il retournait l’adresse e-mail associée.

Ils ont obtenu les e-mails de plus de 114 000 utilisateurs iPad et les ont ensuite communiqué au site Internet Gawker pour qu’il signale la faille.

Auernheimer a ensuite prévenu le bureau du procureur de New Jersey reprochant à AT&T son infrastructure mal sécurisée.

Après une enquête approfondie menée par le FBI -qui a révélé grâce à l’examen de leurs conversations IRC que la véritable motivation des deux hackers s’apparentait davantage à ternir la réputation d’AT&T et à une auto-promotion de leur entreprise de sécurité Goatse Security, ce qui a conduit la cour à déclarer Andrew Auernheimer coupable.

Spitler a déjà plaidé coupable l’année dernière. Auerheimer s’attendait au verdict duquel il compte d’ailleurs faire appel.

 

 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144004
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI