Uskomattoman huolimaton tietoturva yhdellä Applen tärkeimmistä toimittajista paljasti joitain Cupertinon tarkasti vartioituja salaisuuksia kaikille, jotka pystyivät tekemään yksinkertaisen Google -haun.
Kuukausien ajan yksi Quanta tietokoneSisäisiin tietokantoihin pääsee käsiksi käyttäjätunnuksilla ja oletussalasanalla, joka julkaistaan helposti löydettävissä PowerPoint -esityksessä.
Taiwanissa sijaitseva Quanta on maailman suurin kannettavien tietokoneiden valmistaja. Applen lisäksi Quanta kokoaa kannettavia tietokoneita ja ultrakirjoja kymmenille yrityksille, mukaan lukien Dell, Hewlett-Packard, Sharp ja Sony. Yhtiön oletetaan myös kokoavan tulevaa Apple Watch ja kauan huhuttu iPad Pro, vaikka virallisia ilmoituksia ei ole tehty.
Turvallisuushäiriö tulee aikaan, kun hakkerointitapaukset ja kyberhyökkäykset kiihtyvät nopeasti luotosta korttirikkomukset ja julkkisten alaston selfie vuotaa Sonyn arkaluonteisimman yrityksen tuhoisalle varkaudelle tiedot. Se tosiasia, että niin salaisen yrityksen kuin Apple: n luottamukselliset suunnitelmat voidaan paljastaa a Sarja turvavirheitä osoittaa, kuinka vaikeaa on turvata digitaalisessa muodossa olevat tiedot aikakausi.
Polku Quanta -tietokantaan alkoi viime syyskuussa, kun suuren Watchin lanseeraustapahtuman aattona anonyymi Reddit -käyttäjä julkaisi piirustuksia ja yksityiskohtia supersalaisesta laitteesta.
The kuvissa oli paksu neliömäinen kotelo kahdessa eri koossa. Tähän mennessä lopullisia vuotoja ei tapahtunut, ja Apple -yhteisö oli skeptinen. Se ei näyttänyt Applen laitteelta. Mutta vuoto osoittautui todeksi ja ennusti monia yksityiskohtia, jotka Apple paljasti seuraavana päivänä.
Tiedot kerättiin valokuvista yhdestä Quantan sisäisestä PowerPoint -esityksestä. Asiakirja ei ole myöskään ainoa verkossa kelluva: Useita muita luottamuksellisia Quanta -asiakirjoja on julkaistu verkossa ja ainakin yksi antaa tietoja ja kirjautumistietoja sisäiselle Quanta -tietokannalle, joka sisältää yksityiskohtaisia kaavioita, jotka näyttävät näyttävän muille tuleville Appleille Tuotteet. Tiedot löytyvät yksinkertaisella Google -haulla.
Pikahaku lauseisiin "Quanta luottamuksellinen" ja ".ppt" - PowerPoint -tiedostopääte - vetää esityksen nimeltään ”Quanta PDM system for Restricted Substances Investigation”, muun muassa Cult of Mac ei ole vielä kaivanut kautta. Asiakirja peilataan useissa paikoissa tai oli.
Asiakirja on 15. tammikuuta 2013. Se kuvaa Quanta -tietokantaa tuotteiden ja komponenttien ympäristönäkökohtien hallitsemiseksi. PowerPoint -esitys näyttää olevan tehty näyttämään Quanta -asiakkaille, kuinka kirjautua sisään ja käyttää järjestelmää.
Uskomatonta, että se sisältää linkin tietokantaan sekä käyttäjätunnusten ja oletussalasanan tiedot vähintään kahdelle asiakkaalle, mukaan lukien Foxconn, Applen tärkein valmistuskumppani Kiinassa:
anna käyttäjätunnuksesi oletusarvo käyttäjätunnuksessa : Toimittajakoodi+ kolme digitaalista numeroa
verkkosivun oletussalasana "ketterälle", vaihda se kirjautumisen jälkeen
Toimittajan koodi+ kolme digitaalista koodia
(esimerkiksi) FOX111
Lähde, jota Cult of Mac lupasi olla tunnistamatta, osoitti meille, kuinka kuka tahansa voi kirjautua järjestelmään käyttämällä jotakin asiakirjassa mainittua käyttäjänimeä ja oletussalasanaa.
Näyttää siltä, että Quanta asetti saman yksinkertaisen oletussalasanan kaikille asiakkailleen ja että jotkut asiakkaat eivät muuttaneet oletusarvoa kirjautumisen jälkeen ensimmäisen kerran.
Cult of Mac ilmoitti Applelle ja Quanta turvallisuusongelmasta. Apple kieltäytyi kommentoimasta, eikä Quanta ole vastannut kyselyihimme, mutta näyttää siltä, että Quanta on nyt poistanut PowerPoint -asiakirjan tilit käytöstä ja/tai vaihtanut oletussalasanan.
Paul Ferguson, uhkatiedustelun varatoimitusjohtaja osoitteessa IID, Internet -tietoturvayritys, sanoi yleisesti, että saman oletussalasanan käyttö on "erittäin typerää".
"Kaikkien organisaatioiden - suurten ja pienten - tulisi harjoitella hyviä turvallisuuskäytäntöjä ja alkaa käyttää niitä aktiivisesti", hän sanoi.
