Una settimana fa, un gruppo di hacker vicini ad Anonymous ha rilasciato un milione di UDID (identificativi unici dei dispositivi Apple) dichiarando che provenivano da un laptop dell’FBI. Ora invece, a breve distanza dalla smentita ufficiale dell’ente federale, ne scopriamo la natura. I dati sono stati rubati dal database interno di una piccola software house statunitense, chiamata Blue Toad.
La notizia l’ha data per prima NBC News poche ore fa:
Una piccola società della Florida afferma che il database col milione di UDID Apple rilasciato la scorsa settimana da un gruppo di hacker Anonymous è stata rubata dai suoi server due settimane fa. L’ammissione, per bocca dello stesso CEO della società […], contraddice le dichiarazioni di Anonymous secondo cui i dati provenivano dal laptop di un agente FBI smarrito a marzo.
[…]
Paul DeHart, CEO of the Blue Toad publishing company, ha raccontato a NBC News che i tecnici presso la sua società hanno scaricato i file di Anonymous e li hanno confrontati coi database in loro possesso. L’analisi ha evidenziato quasi il 98% di correlazione tra i due dataset.
Sul blog della BlueToad, dopo le scuse di rito, il CEO della società scrive che sono già state prese tutte le misure necessarie atte a impedire eventuali nuovi furti. Intanto, tutte le informazioni utili a risolvere il caso sono già state consegnate alle autorità.
È quindi molto probabile che gli hacker mentissero, o che abbiano preso una sonora cantonata. Resta da verificare a questo punto l’attendibilità delle loro parole quando raccontano di aver trovato, assieme agli UDID, anche i numeri delle carte di credito, gli indirizzi mail e tutto il resto. È lo stesso dubbio che assale il portavoce Apple intervistato dalla NBC:
“In qualità di sviluppatore, BlueToad avrebbe accesso alle informazioni dei dispositivi come UDID, tipo di dispositivo e nome. Gli sviluppatori non hanno accesso alle informazioni degli account utenti, a meno che un utente non decida esplicitamente di fornirgli tali informazioni.”
Dal canto suo, Apple ha ben intuito la pericolosità dell’uso improprio degli UDID, tanto da arrivare a bocciare le app che se ne avvalevano. I rischi legati a questa tecnica di profilazione, infatti, sono eccessivi rispetto ai benefici apportati all’utenza, e quanto accaduto in questi giorni ne è la prova.