ניסוי בדיקות אייפד האקר לפני חוק האינטרנט

חמישה שבועות לאחר שחרורו של האייפד המקורי התומך ב-3G באפריל 2010, אפל ו-AT&T סבלו מפרצת נתונים מסיבית, וחשפה את כתובות האימייל של מאות אלפי מאמצים מוקדמים.

המביךהֲפָרָההיה, במובן מסוים, אחד מתוצרתה של AT&T.

כאשר iPad 3G ביקר באתר האינטרנט של AT&T, ה-iPad שידר מספר מזהה ייחודי ויצר כתובת URL חדשה לאתר AT&T, אשר בתורה קראה למידע המשתמש המשויך למספר הזהות הזה ממאגרי המידע של AT&T.

עד שהאתר של AT&T ייטען לאייפד, המשתמש היה רואה את כתובת הדוא"ל שלו, שסיפק כשהגדיר את ה-iPad, כבר מולאה בדף אינטרנט של AT&T.

חיבור הנתונים

בתחילת יוני התקשרו שני האקרים מקבוצה נוכלתאבטחת עיזים, או GoatSec, גילו שעל ידי ניחוש אקראי של מזהי iPad וחיבורם לכתובת ה-URL, הם יכולים להערים על אתר AT&T להשתעל כתובות דוא"ל של לקוחות.

הם כתבו תסריט למחשב וקצרו 114,000 כתובות - מבלי לפרוץ לשום דבר או לפצח אף אחדסִיסמָה.

הפרט האחרון חשוב. בגלל האופן שבו AT&T הקימה את השירות, כתובות האימייל כבר פורסמו וזמינות לציבור, אם כי קשה למצוא אותן.

אנלוגיה תהיה דף אינטרנט שאף דפים אחרים לא מקשרים אליו. אם אתה יודע את כתובת האתר שלו, אתה יכול למצוא אותה, אבל אחרת הדף נשאר מוסתר.

GoatSec הסתפק בכך שהיא פשוט מצאה ואספה מידע שכבר היה מקוון. והמידע הזה היה דינמיט.

הוא כלל את כתובות האימייל של פוליטיקאים ומנהיגים עסקיים בולטים, כולל ראש עיריית ניו יורק מייקל בלומברג, מגישת החדשות של ABC דיאן סוייר, איל הבידור הארווי ויינשטיין ורחם עמנואל, ראש העיר הנוכחי של שיקגו, שהיה באותה תקופה הבית הלבן של הנשיא ברק אובמה. רמטכ"ל.

לאחר קצירת האימיילים, Goatsec ניסה לכאורה ליצור קשר עם מספר אנשים ברשימה שהיו להם כתובות דוא"ל הקשורות לארגוני תקשורת, בתקווה לפרסם את המקרה בתקשורת, אך לא מצאה לוקחים.

AT&T מסרה כי בשלב זה נודע לה על ההפרה מלקוח, ככל הנראה אחד שגואטסק פנה אליו.

פרסום ההפרה, אבל לא הנתונים

Goatsec פנה לבלוג הרכילות התקשורתי Gawker, אשרשבר את הסיפור ב-9 ביוני 2010לאחר שקיבל את הרשימה המלאה ישירות מ-Goatsec. AT&T כבר סגרה את חור האבטחה ביום הקודם.

לא GoatSec ולא Gawker מעולם לא פרסמו בפומבי את המידע הרגיש. אף על פי כן, התובעים הפדרליים בינואר 2011 האשימו את שני חברי GoatSec, אנדרו אורנהיימר (המכונה "וויב") ודניאל ספיטלר (המכונה "ג'קסון בראון"), בקשירת קשר לגישה למחשב ללא אישור, הפרה של החוק.חוק הונאה והתעללות במחשבים (CFAA) משנת 1986, והונאה.

ספיטלר נקט בהסדר טיעון ביוני 2011, והסכים לסייע לתביעה בתיק שלה נגד אורנהיימר. משפטו של אורנהיימר החל ב-13 בנובמבר השנה ויכול להסתיים לפני חג ההודיה.

החלון הקצר הזה משך את תשומת לבם של פעילי אינטרנט וכלבי מדיניות. המקרה עשוי להביא סוף סוף בהירות ל-CFAA, חוק שלטענת פעילים ומומחים רבים מכיל שפה רחבה מדי וחוסר חמור בהגדרות.

המבקרים טוענים שה-CFAA גורר רשת רחב מדי, מעניש שובבות קטנטנים ומפוקפקים, אבל בסופו של דבר מועיל,ציידי חרקים.

ה-CFAA הופך את זה לבלתי חוקי "לגשת למחשב ללא אישור או לחרוג מגישה מורשית... ממחשב מוגן".

זה אולי היה הגיוני בשנת 1986, לפני הופעת האינטרנט, אבל היום, זה מעורפל להפליא.

כפי שציין TechCrunch, "מחשב מוגן", המוגדר ככל מחשב המשפיע על "מסחר בין-מדינתי או תקשורת", די כוללכל מכשיר עם מיקרו-מעבד וחיבור לרשת.

אומנם אי הבהירות הזו אולי הביאה את אורנהיימר למצבו הנוכחי, אבל היא גם עלולה להוציא אותו מזה.

האם אורנהיימר "ניגש למחשב ללא הרשאה" כאשר שלח בקשות URL עובדות לעמוד הכניסה הזמין לציבור? כיצד מגדיר החוק "גישה?" האם המשטרה, AT&T או בעלי האייפד הבודדים מעניקים אישור? זה לא ברור.

אם התיק לא יוסדר לפני יום חמישי, הוא עשוי להגיע עד לבית המשפט העליון.

עד כה נתנו בתי המשפט לערעורים במעגל הרביעי והתשיעי לחוק הגדרה מצומצמת שהייתה שוללת את מעשיו של אורנהיימר מאחריות פלילית. אבל בתי המשפט במעגל החמישי, השביעי והאחד עשר אפשרו פרשנות רחבה יותר.

עם זאת, גם אם יורשע, אורנהיימר עדיין יכול לקבל את המהלך האחרון. GoatSec הבטיחה לשחרר את המפתחות ל"קובץ ביטוח" מוצפן אם אורנהיימר יורשע.