‘Gelekte Apple UDID’s afkomstig van appontwikkelaar, niet van FBI’

De enorme hoeveelheid gelekte UDID-gegevens die vorige week op internet werden gepubliceerd door hackersgroep AntiSec blijken niet afkomstig van de FBI maar van een appontwikkelaar. De CEO van het bedrijf BlueToad heeft vandaag tegen NBC News gezegd, dat zijn bedrijf de bron is van de gegevens. Beveiligingsonderzoeker David Schuetz kwam het werkelijke lek op het spoor door stevig zoekwerk.

Nadat BlueToad met de bewijzen was geconfronteerd en zelf onderzoek had uitgevoerd, moesten ze toegeven dat de gegevens op een of andere manier in verkeerde handen waren gekomen. Volgens CEO Paul DeHart is er “100 procent zekerheid” dat zijn bedrijf de bron is. Er is dus geen sprake van een gehackte FBI-laptop. Apple ontkende eerder al dat zij klantgegevens aan de FBI zouden hebben verstrekt en ook de FBI ontkende dat ze in bezit waren van deze gegevens.

Apple-woordvoerster Trudy Miller bevestigde in een reactie aan NBC dat BlueToad als ontwikkelaar waarschijnlijk toegang had tot al deze gegevens. Wel benadrukte ze dat de informatie niet kon worden gekoppeld aan individuele gebruikers. Maar die bewering is wat vreemd: in de lijst die AntiSec lekte staan namelijk duidelijk UDID’s met de bijbehorende apparaatnamen. Daarin komen regelmatig voor- en achternamen van gebruikers voor. Dat is niet zo slim van de gebruiker, maar op die manier is de UDID in sommige gevallen wel 1-op-1 te koppelen aan een bepaalde persoon.

BlueToad beweert dat er niet langer UDID’s van gebruikers worden verzameld. Het bedrijf is niet van plan om gebruikers te waarschuwen dat hun gegevens zijn gelekt. Nog onduidelijk is of AntiSec daadwerkelijk over 12 miljoen persoonsgegevens beschikt, of blufte en van 1 miljoen iOS-apparaten alleen de UDID en toestelnaam heeft.