Viime torstaina Applen online -kehittäjäkeskus meni huoltoon. Vaikka säännöllinen käyttökatko kestää yleensä muutaman tunnin, Apple tunnusti ongelman vasta sunnuntai -iltana. Jonkin sisällä viesti sen kehittäjäyhteisölle ja lehdistölle, Apple selitti, että "tunkeilija" oli rikkonut kehittämiskeskuksen tietokantaa. Apple väitti, että sen käyttäjiltä ei varastettu henkilötietoja, mutta uhka oli riittävän suuri, jotta sivuston taustaohjelma saatiin kokonaan uudelleen.
Turkkilainen turvallisuustutkija nimeltä Ibrahim Balic on tullut hakkerista vastaavaksi henkilöksi, vaikka hän väittää, ettei hän ole tehnyt rikoksia, ja on toimittanut virheensä Applelle. On paljastunut lisätietoja siitä, miten Balic pääsi ohi Applen turvallisuudesta.
TechCrunch puhui Balicin kanssa siitä, mitä hän teki päästäkseen tuhansiin Apple ID: hen. 25-vuotias hakkeri on tietoturvatutkija, joka on etsinyt vikoja metsästämään muita yrityksiä, kuten Facebookia. Hän kääntyi vasta äskettäin huomionsa Appleen tuntemattomista syistä.
Hän on ilmoittanut Applelle 13 bugeista vasta 16. heinäkuuta lähtien, ja viimeinen, jonka hän jätti, oli 18. heinäkuuta - samana päivänä, kun Apple vei kehittämiskeskuksen alas. Yllättävää on, että uhka ympäröi pääasiassa Applen mainontaympäristöä iAdia.
Tämä pieni tietoturvaongelma keskittyy Applen iAd Workbenchiin, äskettäin lanseerattuun työkaluun, jonka avulla käyttäjät voivat suunnitella ja kohdistaa iAd -kampanjoita, jotta he voivat rakentaa parempaa hypeä iOS -sovellustensa ympärille. Balic huomasi, että jos muokkaat Workbenchiä käyttävälle palvelimelle lähetettyä pyyntöä, voit yrittää lisätä uuden käyttäjän tilillesi. Sieltä voit yrittää syöttää etunimiä, sukunimiä - mitä tahansa - ja palvelin vastaa sitten täydellä nimellä ja sähköpostiosoitteella. Kun Balic ymmärsi ongelman koko laajuuden, hän (ja tässä hänen perustelunsa menettää minut hieman) kirjoitti Python -käsikirjoituksen kaapatakseen kaikki löytämänsä tiedot ja näytti osan niistä YouTubessa.
Julkaistu YouTube -video Balic on sittemmin tehty yksityiseksi. Hän sanoi ottaneensa 73 Applen työntekijän käyttäjätiedot todisteeksi siitä, että hänen prosessinsa toimi. Ennen kuin Apple korjaa haavoittuvuuden, Balic väittää, että hänellä on pääsy yli 100 000 käyttäjän tunnistetietoon.
Balic kertoi TechCrunchille löytäneensä haavoittuvuuden myös itse kehittämiskeskuksesta, mutta hän väittää, ettei ole koskaan kokeillut sitä. Apple ilmeisesti ajatteli, että hänen havaintonsa vaativat vakavia toimia, ja kehittämiskeskus kärsii tällä hetkellä ennennäkemättömästä katkoksesta.
Hyvä uutinen on, että Balicilla ei näytä olevan pahaa tarkoitusta, vaikka hänen motiivinsa on edelleen vaikea ymmärtää. Myöskään taloudelliset tiedot eivät näytä vaarantuneen.
Olemme ottaneet yhteyttä Baliciin selvittääksemme, mitä hän oikein pystyi paljastamaan, ja onko Apple ottanut häneen henkilökohtaisesti yhteyttä.
Lähde: TechCrunch
