iPad用户信息泄露 AT&T不作为还是黑客炒作

正当iPad热销之际，6月9日，博客网站Gawker.com突然发布了一篇名为《苹果最糟糕的安全漏洞：11.4万名iPad所有者信息被泄露》的文章。随后，事件的关联方在网络上开始针锋相对地展开“自卫战”。而在这场自卫战中，AT&T成了众矢之的，而攻击漏洞的“黑客”却意外地得到了众多网友和舆论的支持。

“今天，我收到了AT&T的道歉信。”一位受害者无奈地叹了口气，“那时，一个念头立刻跳了出来——我要收到更多的垃圾邮件了。”这一天是6月13日。在这一天，AT&T给所有iPad邮件地址泄露门事件的受害者发去了道歉信。

不过，这封道歉信似乎来得有点迟，而且看似是AT&T的无奈之举。

在道歉信发出的6天前，6月7日，AT&T在一个企业客户的通知下，对安全漏洞进行了审查，并于次日修补了这一漏洞。而所谓的修补，不过是停止了一项功能。

iPad内置了AT&T网络的SIM卡，每个SIM卡都带有一个身份验证号——ICC-ID。当把这一验证号发送至AT&T网站，并确认与真实的验证号匹配后，AT&T网站会返回在这一验证号所对应的邮件地址——这被AT&T称为“电子邮件的自动获取功能”。

一家名叫Goatse Security的网络安全组织发现了这一功能的漏洞，并由此获取了11.4万个iPad所有者的邮件地址。用Goatse Security的话说，漏洞是在“无意中”发现的。

在AT&T修复漏洞之前，Goatse Security中的一位成员在使用iPad时发现了这一问题。于是，他们编写了一段代码，用于自动生成一系列ICC-ID，并不断发送至AT&T网站。当这些自动生成的ICC-ID与真实ICC-ID匹配时，AT&T网站会返回给Goatse Security相对应的邮件地址。

通过这一方式获得众多邮件地址后，Goatse Security并没有采取任何行动，他们在等待。直到6月8日，当他们发现AT&T取消了这一功能。于是，他们将这一漏洞信息披露给了Gawker.com。

6月9日，Gawker.com将漏洞信息公之于众，并附带有Goatse Security所盗取的邮件地址。这些地址的主人包括白宫办公厅主任拉姆·伊曼纽尔、ABC新闻主播黛安·索耶、纽约市长迈克尔·布隆伯格、著名电影制片人哈维·温斯坦和纽约时报公司CEO珍妮特·罗宾逊等知名人士。只不过，这些邮件地址的前半部分被遮盖住了。