先日大量のiOS端末の端末固有ID(UDID)がハッカー集団によって公開されるという事件があったが、このデータの漏洩元が米国のデジタル出版会社BlueToadだったことが明らかになった。BlueToad側は同社のシステムから情報が盗まれたとの発表を行っている( 日経ITpro)。同社によると、クレジットカード情報や社会保障番号、医療情報のようなセンシティブな個人情報は収集しておらず、漏洩したのはデバイス名とUDIDのみで、また同社はAppleがUDIDの使用をやめるよう勧告を行ったことからすでにUDIDの収集を止めているとのこと。
漏洩元を確定した経緯について (スコア:2, 興味深い)
なんかFBIとAppleの情報提供を隠すための陰謀論みたいな事を匂わしてる人もいますが。
AppleのUDID 100万件の漏洩元はコンテンツ配信サービスのBlueToadだった―プログラマーが1人で突き止める [techcrunch.com]を読む限りではリストから過程を検証できそうですし。
逆に陰謀論を裏付ける根拠ってあるのでしょうかね?
Re: (スコア:0)
根拠が存在しないから成り立つもんです。陰謀論なんて
Re: (スコア:0)
BlueToad社とAntiSecの発言には、食い違いがあります。
> A little more than a week ago, BlueToad was the victim of a criminal cyber attack
AntiSecは3月第2週に情報を盗んだとしていますが、
BlueToad社は数週間前と発表しています。
同じ情報が、別経路で漏れていた可能性が考えられます。
もともとFBIがBlueToad社から情報を手に入れており、
それを3月にAntiSecが盗んだ、というようなシナリオです。
……まあ、AntiSecのハッタリだったとすれば、
全部まるっと説明できるんですけど。
Re: (スコア:0)
「クレジットカード情報や社会保障番号、医療情報のような~」の部分は今回の事件とは関係の無い話ですし。
「すでにUDIDの収集を止めている」も、今回の事件とは無関係です。
同社のコメントの要点は「すでに脆弱性を修正し、再発防止に向けて対策を講じている」の部分だけです。
しかも、根本的な原因の解明状況や具体的な対策を示していないばかりか、収集を停止した以降もデータを保持し続けていた目的すら示していない。
(件のデータを完全に破棄・消去するとも表明していない)
これじゃぁ詮索もされるでしょう。
UDID収集はするのはやめたけど (スコア:1)
UDID収集するのはやめた(と発表した)けど、集めた情報はスタッフでありがたくいただいています。
ってこと?
ひつじ (スコア:0)
と、いうことにしたいのですね?
#陰謀論が好き。
Re: (スコア:0)
彼らがスケープゴートなのかどうかはともかく、
ここに記されているような問題ならば何処でも、
どの端末でも起きそうで怖いですね。
あとはターゲットにされやすいかどうか。
Re: (スコア:0)
勧告で解決する問題じゃないでしょ (スコア:0)
「AppleがUDIDの使用をやめるよう勧告を行った」とあるけれど
IDが収集できる状態は何も変っていないってこと?
IDを収集できないようにするのが先なんじゃないの?
Re:勧告で解決する問題じゃないでしょ (スコア:2)
関連ストーリーとしてはっ解きます
Apple、iOS-5ではアプリのデバイス固有ID利用を禁止へ [srad.jp]
Re: (スコア:0)
>iOS-5ではアプリのデバイス固有ID利用を禁止へ
別に廃止しなくても、APIから削除すればいいだけでしょ。
使用を禁止したUDIDへのアクセス用APIを使ってれば、App Storeに登録しないよ、というだけのことかもよ。
BlueToadの発表は本当か? (スコア:0)
漏洩したデータはデバイス名とUDIDのみということなのに、公開されたデータにはユーザー名、住所、携帯電話番号等も含まれていた。
となれば、BlueToadからUDID、ユーザー名、住所、携帯電話番号のセットが流出したんじゃねーの?
Re: (スコア:0)
> 公開されたデータにはユーザー名、住所、携帯電話番号等も含まれていた。
と言っているのはAntiSecだけで、彼らはそれらを「削除した」としてUDIDを公開しているので他人には検証のしようがありません。
AntiSecがまだ出していないだけとする情報を公開すれば彼らの主張に真実性が増しますが、まあ、多分、無理でしょうね。
Re: (スコア:0)
> > 公開されたデータにはユーザー名、住所、携帯電話番号等も含まれていた。
> と言っているのはAntiSecだけで、彼らはそれらを「削除した」として
ユーザ名は公開されたわけですが。
Re: (スコア:0)
はい。名前、住所、電話番号は削除してユーザー名は公開した、という話で、BlueToadから漏出したのはUDIDとユーザー名ですね。
そもそも流出元がBlueToadであるというのはユーザーをあるプログラマが解析したからということなので、ユーザー名があることは最初のニュースから分かってるつもりです。「それら全て」とは言いませんでしたが、ちょっと表現が不用意でしたかね。
本当に氏名などもあって1200万件あるというなら、今公開しておらず、自分たちが持っているとする情報を公開することでBlueToad側が嘘を言っていることを証明できますが、多分無理だろうという予想です。
Re: (スコア:0)
>The illegally obtained information primarily
>consisted of Apple device names and UDIDs –
>information that was reported and stored pursuant
>to commercial industry development practices.
表現が不用意なのはあなたじゃなくて、デバイス名と
UDIDしか漏洩していない、と発表したBlueToadかと。
それとも「Apple device names」っていうのは、
必ずユーザ名とイコールなの?