Gli UDID che Anonymous sosteneva di avere sottratto da una banca dati dell’FBI arrivano da un database violato da Bluetoad, una società privata. Ad ammetterlo è la stessa BlueToad con un post scritto da Paul De Hart, amministratore delegato dell’azienda che si occupa di fornire servizi a diverse migliaia di sviluppatori, tra cui alcune realtà di primo piano che utilizzano le sue tecnologie per costruire applicazioni.
A scoprire che non l’FBI ma BlueToad sarebbe all’origine della gigantesca falla di sicurezza (milioni di UDID connessi al nome che il telefono ha ricevuto dal suo possessore), è stato un David Schuetz, un ricercatore che lavora per Intrepidus Group, una società newyorchese operante nel campo della sicurezza dei dispositivi mobili. Scorrendo la lista, ha raccontato Schuetz a NBC News, è stato possibile notare come diversi UDID e nomi di telefono puntavano a BlueToad. Una verifica ha dimostrato che la lista era stata creata proprio da BlueToad e che da lì era finita nelle mani di Anonymous.
Ovviamente nessuno è in grado di escludere che Anonymous sia entrato in possesso della lista scandagliando in qualche modo i dati dell’FBI che a sua volta potrebbe avere ottenuto la lista per interposta persona, ma è altrettanto chiaro che l’ipotesi più attendibile è quella che segue la strada più breve e che la lista sia passata in qualche modo direttamente dai computer di BlueToad a quelli di Anonymous. Ma in questo momento le domande più pressanti a cui si dovrebbe rispondere ruotano intorno a che cosa abbia fatto e in che cosa abbia mancato BluToad nella tutela della privacy di clienti che direttamente o indirettamente si erano affidati ai suoi servizi, che cosa intende fare per riparare ai fatti accaduti e, non ultima, la ragione per cui era in possesso di milioni di UDID.
In attesa che nei prossimi giorni giunga qualche riscontro, mentre BluetToad si scusa e si conferma l’estraneità nella vicenda da parte di Apple che aveva sempre negato di avere distribuito gli UDID o avere offerto all’FBI una sorta di back door ad arrivare ad essi, la vicenda non mancherà di rinfocolare la polemica intorno alla raccolta degli UDID che viene fatta da alcuni sviluppatori. Questa pratica è stata prima sconsigliata e poi proibita da Cupertino, ma sino a pochi mesi fa era abbastanza comune e veniva perseguita da sviluppatori e società di marketing che usando gli UDID potevano misurare le performance di messaggi pubblicitari e in genere il comportamento degli utenti. Secondo diversi osservatori l’UDID è sostanzialmente un dato neutro che non permette di risalire all’utente del telefono, ma solo alle sue abitudini, secondo altri esperti affermano (e hanno dimostrato) che conoscendo l’UDID si possono sottrarre importanti informazioni assolutamente private tra cui la stessa identità dell’utente del telefono.