ZDNET特别在10日访问Goatse的主要成员,奥恩海默(EscherAernheimer(别名Weev)),说明该团体的动机。
问:ATT发言人说你们没有联络他们,能说明一下吗?
奥恩海默:我们选择不采取直接对话。我们一直等到8日,确定他们网站的漏洞已经修补好之后,才公布资料和攻击的细节。而且我们只把消息放给GawkerMedia(八卦网站)的塔特(RyanTate),因为他答应会检查ICCID和e-mail,以免被人利用。我们做了很多努力,但不想直接和ATT接触,以免他们试图发出禁止令或者做出对我们不利的事情。
问:如果你们没有直接联络ATT,那是怎么和他们接触?
奥恩海默:那不是我的职责。另有一个人负责确保ATT已经防护好他们的网站,和这个漏洞不会被其它任何人利用。我是负责确定攻击程序的作者已经确认该漏洞被封闭,然后才对外公布数据和细节。那是我们的公司流程。
问:所以,GoatseSecrity的行动是商业目的?
奥恩海默:我们有一个非常重视的客户基础,他们的利益优先。但客户之外,我们最看重的是公众利益。我们为大众服务,而公开这件事,是因为民众有知情的权利。这个问题可能产生几个严重后果,尤其是这些数据被人偷走,然后发动Safari攻击……现在,有几个我知道的零时差(未修补)攻击漏洞存在。有多少人拥有这个东西?我不知道,但如果他们可以拿到这份数据,就等于有一份可攻击的候选人名单,这是非常危险的。
因此,我认为有必要用这种方式告知大众。我知道有些人批评我们不负责任,但我们在这件事情上,是尽了全力扮演好人。等到漏洞修补好,我们只把数据提供给一位同意隐藏重要部分的记者。这都是为了民众的最大利益。
问:Gawker取得这份资料没有付出任何报酬吗?
奥恩海默:完全没有。
问:除了那位记者之外,你们还有和任何人分享这个信息和攻击指令吗?它有没有可能落到居心不良的人手中?
奥恩海默:指令有可能落入第三方手中,但我不认为会发生。我觉得参与这次行动的每个人都非常负责,我没有理由怀疑他们。
问:所以是你们其中一位成员有一台iPad,然后发现这个与ATT网站的奇特互动?
奥恩海默:他使用这一项ATT的安全维护程序,并且发现,这个普通的使用者经验中的某部分,可以用来骗取数据。
问:然后就写出自动执行的指令了?
奥恩海默:没错。
问:这种网站安全问题是非常普遍的,对吗?
奥恩海默:可能吧。对于这种俄罗斯地下市场可能已经备好攻击码的装置,ATT竟然还有这种问题,令人相当震惊。
问:那些ID验证码可以被用来执行锁定或控制该装置的目标性攻击吗?所有iPad使用者都会受影响吗?
奥恩海默:理论上有可能。我认为最坏的状况是某人发出一个Safari攻击码到那些e-mail地址,然后有人用他们的iPad点入连结……我最担心的是,有人拿到这份e-mail名单,再到RBN(俄罗斯商业网络地下市场)买到Safari攻击码,然后用来攻击美国政府官员和企业高层,那就不好了。所以这是为了民众的利益,至少现在他们知道了。至少大家知道自己可能被攻击。你或许想变更与iPad有关的e-mail地址。民众可以采取自保的步骤,那些过去大家不以为意的事情,我认为非常重要的。
问:苹果有任何过失吗?他们是否该要求使用者以不同于Mac或iPad的e-mail地址去注册新装置?
奥恩海默:对我而言,真正的威胁是藉由e-mail附件传送的攻击码,而那部分只要换新的e-mail即可解决,网络上有很多免费的e-mail账号可申请。苹果应该对电信商的安全防护作某种程度的评估吗?他们应该作业务稽核评估吗?他们应该作网络应用程序审核吗?也许吧,但我认为大部分的错在ATT。
问:你们究竟是什么组织?帮企业测试安全防护的顾问公司吗?
奥恩海默:没错。我们接受几方的咨询,对新工作保持开放,我们也喜欢作有趣的研究。我们有高竿的员工,我们的团队包含一些世上最聪明的人。我很荣幸能与SamHocevar这些人共事,他是一位影像处理(captcha-breaking)天才。有些人更是让我佩服的五体投地,我的同事都很伟大,我很高兴能成为其中一员,也对我们的成果引以为傲。
问:你们总共有多少人?
奥恩海默:核心成员有9位,还有一些承包商。
问:你们的基地在美国?
奥恩海默:我们没有任何基地。我们都在自己家里工作,有几个人在德州,几个在洛杉矶,有一个人在法国,其它分散在各处。
问:你们公司的名字,和一个恶心的惊骇网站一样。那是否会损伤你们的信誉和名声?
奥恩海默:(笑)我不认为。我们的研究成果能证明一切。我们上一次公开的成果(我们大部分的成果都没有对外公布),是一个Safari溢流错误。我们的团队和我们的成果都非常棒,如果有人因为我们的发言感到极度不爽,以致于无法用文明的方式接受我们,那他们就是混蛋,我们也不想为他们工作。
问:你说你们大部分的工作都没有曝光,你的意思是没有告知受影响的公司,或居心不良的人吗?
奥恩海默:这是成本效益分析的问题。
当你发现一个错误,特别是在某种情况下,有时候不公布比较有利,如果这是为了你客户的利益,或某人的利益。我们的客户是最高优先,除此之外,如果我们没有接受任何人的委托,我们会把公众放在最先。但每样东西都有价钱,我相信所谓揭露的道德,当然也有价码。但若不为钱,就要为公众的利益。
问:所以,你们不会让研究流入地下市场或坏人的手中?
奥恩海默:绝对不会。我们爱美国,我们爱美国人,而我们绝不会帮助美国商业上的策略对手,绝对不会。
问:《纽约时报》对你有一篇相当丰富的报导。
奥恩海默:那个人根本是通篇胡言,像他说我拿着别人女儿的手机索要赎金。我从没宣称自己做过那种事,我也从未作过那种事。他根本不想写真实的报导,他要把我放到他编造的故事里。
问:被封为网络巨魔和顽童,你同意吗?
奥恩海默:俯首认罪。
问:还有什么大家应该知道的事吗?
奥恩海默:我认为苹果的使用者会特别感到梦幻破灭。现在执行OSX的产品,已经是可替换的商品。随着苹果使用者成为数量更可观的少数,他们对安全防护的不实际幻想,也将随之破灭。
-
【iPad隐私泄露】苹果iPad隐私泄露
156人看过
-
泄露隐私罪判多少
149人看过
-
泄露隐私怎么定罪
97人看过
-
泄露别人隐私判刑多久
477人看过
-
故意泄露他人隐私罪
245人看过
-
朋友泄露隐私犯法吗
263人看过
作者包括自然人作者和法人及非法人单位作者。自然人作者是创作作品的公民。由法人或非法人单位主持,代表法人或非法人单位意志创作,并由法人或非法人单位承担责任的作品,是法人和非法人单位作者。两人以上合作创作作品的创作者是合作作者。... 更多>
-
泄露个人隐私可以拘留多久?泄漏隐私会坐牢吗?江苏在线咨询 2022-07-24公安人员泄露个人信息的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任。根据《中华人民共和国居民身份证法》 第二十条人民警察有下列行为之一的,根据情节轻重,依法给予行政处分;构成犯罪的,依法追究刑事责任: (一)利用制作、发放、查验居民身份证的便利,收受他人财物或者谋取其他利益的; (二)非法变更公民身份号码,或者在居民身份证上登载本法 第三条 第一款规定项目以外的信息或者故意登载虚
-
-
泄露隐私犯法吗?香港在线咨询 2022-06-19泄露别人隐私犯法。一般泄露被人隐私,属于民事侵权行为,要承担民事侵权责任。如果泄露别人隐私存在出卖个人信息行为的,属于违法犯罪,会依法受到刑事处罚。根据《刑法》第二百五十三条之一第一款以及第二款的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提
-
泄露个人隐私罪辽宁在线咨询 2022-07-15很多人都知道,公民的个人信息属于隐私,不能随意泄露给他人,否则将构成犯罪,在法律上会受到定罪处罚。那么,泄露公民个人信息罪怎么定罪处罚? 根据《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第九条的规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第
-
医院私自泄露隐私吗甘肃在线咨询 2022-11-201、医院私自泄露患者隐私可以告他。医院私自泄露患者隐私属于侵权行为,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。 2、法律依据;《民法典》 第一千二百二十六条医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。