正当iPad热销之际，6月9日，博客网站Gawker.com突然发布了一篇名为《苹果最糟糕的安全漏洞：11.4万名iPad所有者信息被泄露》的文章。随后，事件的关联方在网络上开始针锋相对地展开“自卫战”。而在这场自卫战中，AT&T成了众矢之的，而攻击漏洞的“黑客”却意外地得到了众多网友和舆论的支持。

　　“今天，我收到了AT&T的道歉信。”一位受害者无奈地叹了口气，“那时，一个念头立刻跳了出来——我要收到更多的垃圾邮件了。”这一天是 6月13日。在这一天，AT&T给所有iPad邮件地址泄露门事件的受害者发去了道歉信。

　　不过，这封道歉信似乎来得有点迟，而且看似是AT&T的无奈之举。

　　在道歉信发出的6天前，6月7日，AT&T在一个企业客户的通知下，对安全漏洞进行了审查，并于次日修补了这一漏洞。而所谓的修补，不过是停止了一项功能。

　　iPad内置了AT&T网络的SIM卡，每个SIM卡都带有一个身份验证号——ICC-ID。当把这一验证号发送至AT&T网站，并确认与真实的验证号匹配后，AT&T网站会返回在这一验证号所对应的邮件地址——这被AT&T称为“电子邮件的自动获取功能”。

　　一家名叫Goatse Security的网络安全组织发现了这一功能的漏洞，并由此获取了11.4万个iPad所有者的邮件地址。用Goatse Security的话说，漏洞是在“无意中”发现的。

　　在AT&T修复漏洞之前，Goatse Security中的一位成员在使用iPad时发现了这一问题。于是，他们编写了一段代码，用于自动生成一系列ICC-ID，并不断发送至 AT&T网站。当这些自动生成的ICC-ID与真实ICC-ID匹配时，AT&T网站会返回给Goatse Security相对应的邮件地址。

　　通过这一方式获得众多邮件地址后，Goatse Security并没有采取任何行动，他们在等待。直到6月8日，当他们发现AT&T取消了这一功能。于是，他们将这一漏洞信息披露给了 Gawker.com。

　　6月9日，Gawker.com将漏洞信息公之于众，并附带有 Goatse Security所盗取的邮件地址。这些地址的主人包括白宫办公厅主任拉姆·伊曼纽尔、ABC新闻主播黛安·索耶、纽约市长迈克尔·布隆伯格、著名电影制片人哈维·温斯坦和纽约时报公司CEO珍妮特·罗宾逊等知名人士。只不过，这些邮件地址的前半部分被遮盖住了。

　　信息一经披露，业界很快掀起了轩然大波。《纽约时报》甚至建议员工停止通过iPad登录网络，直到真正安全为止。而在11日，FBI(美国联盟调查局)也宣布介入调查。两天后，正如那位受害者所经历的——AT&T发来了道歉信。

　　这封道歉信将Goatse Security描述成邪恶的黑客，并将责任推给了Goatse Security。对于这封迟到的道歉信，Goatse Security的成员十分气愤。他们表示，要不是自己将信息公开，恐怕AT&T根本不会将这个漏洞信息通知消费者，更谈不上道歉了。

　　双方一场自卫式的口水战随即展开。

　　AT&T不诚实的道歉

　　“iPad邮件地址泄露门事件不是我们的错，而是一群被称为黑客的可恶的人攻击了我们的网站，并盗取了我们的用户邮件地址。”这并不是 AT&T道歉信中的内容，而是来自一位网友对AT&T道歉信的整体印象。虽然不能断定这一印象是否准确，但至少反映出这位网友对 AT&T行为极大地不满。

　　而这样差评AT&T的大有人在。许多评论都直指AT&T 的道歉信“不诚恳”。一位受害者在看到AT&T和Goatse Security双方发表的言论后，甚至认为应该有更多的媒体帮助传播Goatse Security的言论，以揭开AT&T的虚假面纱。

　　这里的虚假面纱指的是AT&T在道歉信中“不诚实”的言论。

　　在AT&T的道歉信中，它写道：“黑客花了很大的精力来编写了一段代码，以获得ICC-ID和用户的邮件地址。”不过真是如此吗?

　　Goatse Security立刻发表言论予以反击：“发现这个漏洞的成员仅花了一个小时的时间就获得了这11.4万个iPad所有者的邮件地址。”

　　而对于AT&T在道歉信中的另一个说法：这个漏洞只会泄露用户的邮件地址，不会有其他危害，Goatse Security也不认同。

　　Goatse Security的成员Auernheimer表示，更深层次的攻击是有可能发生的。他指出：“我最担心的是，有人拿到了邮件地址，再到RBN(俄罗斯商业网络地下市场)买到Safari(苹果公司的浏览器)的攻击代码，这样就能用来攻击美国政府官员和企业高层了。一些黑客组织安排了成百上千的人，全职地寻找各种漏洞。”

　　不仅如此，“黑客还能够通过ICC-ID获得更多的信息，比如iPad的归属地。”独立安全顾问Nick DePetrillo指出。

　　许多人将关注点落在了AT&T的错误、迟缓的行动以及不诚恳的道歉上。而Goatse Security扮演起了“为公众利益着想”的角色。整件事的背后难道真像Goatse Security所宣称的那样“没获得”任何利益吗?

　　Goatse Security意欲何为

　　Goatse Security的名字一下子传遍了大街小巷。

　　各种网站开始疯狂发布、转载这一事件的最新情况。CNET、CBS News等媒体争先恐后采访Goatse Security——一家拥有9位核心成员以及一些外包成员、没有基地的网络安全组织。这些报道里都是对这个组织业务及理念的介绍。“我以前从来没听说过这个名字，不过现在我很有兴趣去了解它。”一位网友表示。

　　虽然，Goatse Security在接受媒体采访时强调，揭露AT&T网络上的漏洞是为了激起企业、民众对安全的重视，纯粹是为了公众利益着想，但是有些业内人士不这么认为。

　　“你不应该单纯地认为，Goatse Security将漏洞信息交给Gawker.com不为任何私人利益。”一位分析师指出。这位分析师认为，Gawker.com和苹果的关系并不好，而 Goatse Security唯独将信息交给Gawker.com，这个网站又以“苹果最糟糕的安全漏洞：11.4万名iPad所有者信息被泄露”这样的标题报道了这个事件，背后一定有更深层次的利益牵扯。

　　“至少有一点，他们是为了宣传自己。”这位分析师称。

　　的确，从最终的结果来看，Goatse Security以较好的形象在公众面前“溜达”了一圈，以很低的成本将自己推到了公众的面前。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。