Letzten Donnerstag, Apples Online Developer Center ging wegen wartung runter. Während der reguläre Ausfall in der Regel einige Stunden dauert, hat Apple das Problem erst am Sonntagabend bestätigt. In einem Nachricht an die Entwickler-Community und die Presse, erklärte Apple, dass ein „Eindringling“ in die Datenbank des Dev Centers eingebrochen sei. Apple behauptete, dass seinen Benutzern keine persönlichen Daten gestohlen wurden, aber die Bedrohung war groß genug, um einen vollständigen Wiederaufbau des Backends der Website zu rechtfertigen.
Ein türkischer Sicherheitsforscher namens Ibrahim Balic hat sich als Verantwortlicher für den Hack gemeldet, obwohl er kein Foulspiel behauptet und seine Fehler bei Apple eingereicht hat. Weitere Informationen darüber, wie Balic an Apples Sicherheit vorbeigekommen ist, wurden bekannt gegeben.
TechCrunch sprach mit Balic darüber, was er getan hat, um Zugang zu Tausenden von Apple-IDs zu erhalten. Der 25-jährige Hacker ist ein Sicherheitsforscher, der für andere Unternehmen wie Facebook auf Fehlersuche gegangen ist. Erst vor kurzem wandte er sich Apple aus unbekannten Gründen zu.
Er hat Apple seit dem 16. Juli 13 Fehler gemeldet, und der letzte, den er eingereicht hat, war am 18. Juli – am selben Tag, an dem Apple das Dev Center abbrach. Überraschend ist, dass die Bedrohung hauptsächlich iAd, die Werbeplattform von Apple, umgab.
Dieses kleine Sicherheitsproblem dreht sich um Apples iAd Workbench, ein kürzlich eingeführtes Tool, mit dem Benutzer iAd-Kampagnen erstellen und gezielter gestalten können, um einen besseren Hype um ihre iOS-Apps aufzubauen. Balic hat festgestellt, dass Sie, wenn Sie eine an den Server, auf dem Workbench ausgeführt wird, gesendete Anfrage manipuliert haben, versuchen können, dem Konto einen neuen Benutzer hinzuzufügen. Von dort aus könnten Sie versuchen, Vornamen, Nachnamen – was auch immer – einzugeben, und der Server würde dann mit einem vollständigen Namen und einer E-Mail-Adresse antworten. Nachdem Balic das ganze Ausmaß des Problems verstanden hatte, schrieb er (und hier verliert mich seine Begründung ein wenig) ein Python-Skript, um alle Daten zu sammeln, die er finden konnte, und zeigte einige davon auf YouTube.
Das von Balic gepostete YouTube-Video wurde inzwischen privatisiert. Er sagte, er habe die Benutzerdaten von 73 Apple-Mitarbeitern als Beweis dafür genommen, dass sein Prozess funktioniert hat. Bis Apple die Sicherheitslücke behebt, behauptet Balic, Zugriff auf mehr als 100.000 Benutzeranmeldeinformationen zu haben.
Balic sagte gegenüber TechCrunch, dass er auch im Dev Center selbst eine Schwachstelle gefunden habe, behauptet aber, dass er sie nie ausprobiert habe. Apple war offensichtlich der Meinung, dass seine Ergebnisse ernsthafte Maßnahmen rechtfertigen, und das Dev Center erlebt derzeit einen beispiellosen Ausfall.
Die gute Nachricht ist, dass es nicht so aussieht, als hätte Balic böswillige Absichten, obwohl seine Motive immer noch schwer zu verstehen sind. Es scheinen auch keine Finanzinformationen kompromittiert zu werden.
Wir haben uns an Balic gewandt, um zu klären, was genau er aufdecken konnte und ob Apple ihn persönlich kontaktiert hat.
Quelle: TechCrunch
![Die unverzichtbaren iOS-Apps dieser Woche: Solar, PIXEL'D, Bokehful & mehr [Roundup]](/f/6768f6d1016436be922e72dca8273ec3.jpg?width=81&height=81)