AT&TのiPadユーザーの個人データの取り扱い方に関する弱点を暴露したとして起訴された米国人男性が、月曜日に有罪判決と41カ月の刑に対する控訴を申し立てた。
「weev」として知られるアンドリュー・アウアーンハイマー氏は、AT&Tのサーバーから11万4000人のiPad 3G所有者の名前とメールアドレスを自動抽出するツールを作成した。このツールは、顧客がアカウントにアクセスするために使用されていた。この情報は後にオンラインニュースサイトGawkerに提供された。
アウエルンハイマー氏の事件は長期の懲役刑で広く注目を集めたが、同氏の弁護士トル・エケランド氏は電子メールで、この刑期はコンピューター関連の刑事事件としては最長であると述べた。
彼は2011年、ニュージャージー州の連邦裁判所で、コンピュータ詐欺・濫用防止法に基づき、不正コンピュータアクセス共謀罪と個人識別詐欺の2件の重罪で起訴された。2012年11月に5日間の裁判を経て有罪判決を受けた。
オーエンハイマー氏は、AT&Tのセキュリティに協力していると主張したが、AT&Tは、ゴートセ・セキュリティとして知られるオーエンハイマー氏のハッキング集団からこの問題について連絡を受けた者はいないと主張した。
米連邦第3巡回控訴裁判所に提出された控訴状は、電子フロンティア財団、ジョージ・ワシントン大学法科大学院のオリン・カー教授、EFF研究員のマーシャ・ホフマン氏の協力を得て、彼の弁護士トル・エケランド氏とマーク・ジャッフェ氏によって作成された。
控訴では、オーエンハイマー氏がAT&Tのサーバーにアクセスしたことは法律違反ではないと主張している。同社は、モバイル接続機能付きiPadのSIMカードに搭載されているシリアル番号である集積回路カードID(ICC-ID)をユーザーのメールアドレスに紐付けていた。
ユーザーが AT&T の Web サイトにアクセスすると、ICC-ID に基づいて電子メール フィールドが自動的に入力されます。これは、ユーザーがログインするときに時間を節約できるようにすることを目的としていたようです。
しかし、オーエンハイマーの友人であるダニエル・スピトラーは、ICC-IDを1桁変更するだけで新しいユーザーのメールアドレスが返されることを発見しました。そこで2人は、「iPad 3G Account Slurper」と呼ばれるアプリケーションを開発し、名前とメールアドレスを一括取得しました。
データはインターネット上で自由に入手可能であったため、アウエルンハイマー氏の行為は窃盗には当たらない、と控訴人は主張している。
「AT&Tは、顧客のメールアドレスへのアクセスを制御するために、パスワードやその他の保護手段を採用しなかった」と控訴状には記されている。「同社はサーバーの設定を、情報を誰でも利用できるようにし、その結果、一般の人々が情報を閲覧することを許可した。」
控訴ではまた、オーエンハイマー被告に対する訴因の1つが誤って重罪に引き上げられたこと、また同州ではデータが取り扱われていなかったため同事件は同州で起訴されるべきではなかったと主張している。
スピトラー被告は2011年6月、ニュージャージー州の連邦裁判所で別の刑事事件でオーエンハイマー被告と同様の罪状で有罪を認めた。判決はまだ下されていない。
