App-Entwickler BlueToad meldet sich zu Wort

Herkunft von veröffentlichten Apple-Kundendaten geklärt

Der Besitzer der Datensammlung über Apple-Kunden, die AntiSec als vom FBI erbeutet veröffentlichte, hat sich offenbar gefunden. Der App-Entwickler BlueToad gab an, die Daten seien von den Servern der Firma entwendet worden.

Die zu Anonymous gehörende Hackergruppe LulzSec / AntiSec veröffentlichte am Dienstag, dem 4. September 2012, eine Liste von Apple-Kundendaten. Nach damaligen Angaben soll sie bei einem Angriff auf einen FBI-Laptop erbeutet worden sein. Die verschlüsselte Datei beinhaltete rund eine Million eindeutige Gerätekennungen für Apple-Geräte sowie deren Gerätenamen und je ein APNs-Token. Nach Angaben von AntiSec habe man die Liste um viele persönliche Informationen bereinigt, außerdem stelle sie nur einen Bruchteil einer 12,3 Millionen Geräte umfassenden Datenbank dar. Die Sicherheitsrelevanz der veröffentlichten Daten ist umstritten. Wenigstens aber können sie bei Diensten wie OpenFeint verwendet werden, um Informationen zum Besitzer des Geräts zu erlangen.

Die Gruppe gab damals an, man wolle mit der Aktion auf die Einschränkung der Nutzungsfreiheit für elektronische Geräte sowie die zunehmende staatliche Überwachung hinweisen. Apple und das FBI widersprachen und versicherten, nichts von einem solchen Übergriff zu wissen. Nun scheint sich die Situation am 11. September geklärt zu haben. Wie unsere Kollegen von IDGNS melden, hat sich inzwischen ein App-Entwickler gefunden, der angibt, der Besitzer der Daten zu sein: das Medienhaus BlueToad, das für den Zugriff auf sein Angebot auch Apps für Apple- und Android-Geräte bereitstellt. Dessen CEO Paul DeHart berichtet von einem Angriff auf die Serversysteme des Unternehmens, bei dem Kundendaten entwendet worden seien.

Als mögliche Quelle wurde die Firma von dem Sicherheitsexperten David Schuetz identifiziert, dem eine Unregelmäßigkeit in den veröffentlichten Daten auffiel. 19 der Geräte waren jeweils mehrfach aufgeführt, begleitet von unterschiedlichen APNs-Tokens. Diese waren den Apps von BlueToad zuzuordnen, und auch die Namen der Geräte wiesen auf BlueToad-Mitarbeiter hin. Auf seine Kontaktaufnahme nahm das Unternehmen nach Angaben von DeHart eine Sicherheitsüberprüfung vor, die den Verdacht bestätigt habe.

"Wir sammeln keine sensiblen persönlichen Daten wie Kreditkarten- und Sozialversicherungsnummern oder medizinische Informationen und haben das auch nie getan", wird die Unternehmensleitung zitiert. Das Sicherheitsleck sei inzwischen von unabhängiger Seite geschlossen worden, und BlueToad-Apps hätten mit sofortiger Wirkung das Senden von UDIDs eingestellt. Die Sicherheitsbehörden seien verständigt, und das Unternehmen arbeite eng mit ihnen zusammen. (dre)