martes, 2 de julio de 2013

Hacker de iPads “AT&T” apela sentencia de 41 meses de carcel


Andrew Auernheimer fue sentenciado por conspiración y fraude por advertir una vulnerabilidad en los servidores de la empresa de telefonía. Junto a un amigo desarrolló una herramienta que obtenía los datos de nombres y direcciones de correo de los usuarios. 

 Weev aún en libertad. La apelación sostiene que los datos eran de acceso libre. 
Andrew Auernheimer, también conocido como “Weev”, apeló una sentencia de 41 meses que pesa sobre él por haber expuesto una debilidad en los iPad de la empresa AT&T. Auernheimer creó una herramienta automatizada para la extracción de los nombres y direcciones de correo de los propietario de iPad 3G desde los servidores AT&T. Estos datos eran utilizados por los usuarios para acceder a sus cuentas. El caso se distingue de otros similares por la extensión de la sentencia. La condena fue dispuesta en 2011 por una corte federal de New Jersey.  Los cargos fueron conspiración para el acceso no autorizado a una computadora y fraude.
Weev sostuvo que en realidad estaba ayudando a la empresa con su seguridad, pero AT&T declaró que ningún miembro del grupo al que pertenece el hacker, Goatse Security, fue contactado por el problema. La apelación sostiene que Auernheimer no fue contra la ley cuando accedió a los servidores de AT&T. La compañía ha enlazado el ID de la tarjeta de circuito integrado (ICC-ID), el número de serie de la tarjeta SIM con la dirección de e-mail.  Por dicha razón cuando un usuario visita el sitio de la compañía el campo de la dirección de correo se completa automáticamente. Esta característica tenía como objetivo ayudar a los usuarios a ahorrar tiempo. Un amigo de Auernheimer, Daniel Spliter, descubrió que cambiando un solo digito del ICC-ID se obtendría la dirección de correo de otro usuario. Ambos hackers desarrollaron entonces un programa llamado iPad 3G Account Slupper, que era capaz de extraer los nombres y cuentas de correo en gran número.
La defensa de Auernheimer sostiene que dado que los datos estaban disponibles líbremente en la red sus actos no constituyen un robo. “AT&T eligió no emplear contraseñas o cualquier otra medida de control para el acceso a las direcciones de correo de sus usuarios”, sostiene la apelación, “La compañía configuró sus servidores para que la información estuviera disponible para cualquiera y al hacerlo autorizó al público en general a ver esos datos”.  Spliter se declaró culpable por cargos similares en un caso criminal separado en Junio de 2011. Todavía no ha recibido sentencia alguna.
La fundación Electronic Frontier colaboró con la defensa representada por Orin Kerr y Marcia Hofmann. Hofmann señaló que Weev fue agresivamente juzgado por una acción que causa poco daño y buscó el interés público. Hanni Fakhoury, abogado de la EFF señaló que lo único que produce el fallo es el envío de un mensaje que sostiene que si se descubre una vulnerabilidad se puede ir a la carcel por dar la alarma.

No hay comentarios:

Publicar un comentario