Την περασμένη Πέμπτη, το διαδικτυακό Κέντρο προγραμματιστών της Apple κατέβηκε για συντήρηση. Ενώ η τακτική διακοπή διαρκεί συνήθως μερικές ώρες, η Κυριακή το βράδυ η Apple αναγνώρισε το ζήτημα. Σε ένα μήνυμα στην κοινότητα των προγραμματιστών της και στον Τύπο, Η Apple εξήγησε ότι ένας «εισβολέας» είχε παραβιάσει τη βάση δεδομένων του Dev Center. Η Apple ισχυρίστηκε ότι δεν έκλεψαν προσωπικά δεδομένα από τους χρήστες της, αλλά η απειλή ήταν αρκετά μεγάλη ώστε να δικαιολογηθεί μια πλήρης αναδόμηση του backend του ιστότοπου.
Τούρκος ερευνητής ασφαλείας με το όνομα Ιμπραήμ Μπαλίτς έχει εμφανιστεί ως υπεύθυνος για το hack, παρόλο που δεν ισχυρίζεται ότι δεν έκανε φάουλ και υπέβαλε τα σφάλματά του στην Apple. Αποκαλύφθηκαν περισσότερες πληροφορίες σχετικά με το πώς ο Μπάλιτς ξεπέρασε την ασφάλεια της Apple.
TechCrunch μίλησε με τον Μπαλίτς για το τι έκανε για να αποκτήσει πρόσβαση σε χιλιάδες Apple ID. Ο 25χρονος χάκερ είναι ερευνητής ασφαλείας που έχει ψάξει για σφάλματα για άλλες εταιρείες όπως το Facebook. Πρόσφατα έστρεψε την προσοχή του στην Apple για άγνωστους λόγους.
Έχει αναφέρει 13 σφάλματα στην Apple από τις 16 Ιουλίου και το τελευταίο που κατέθεσε ήταν στις 18 Ιουλίου - την ίδια ημέρα που η Apple κατέβασε το Dev Center. Αυτό που προκαλεί έκπληξη είναι ότι η απειλή περιβάλλει κυρίως το iAd, τη διαφημιστική πλατφόρμα της Apple.
Αυτό το μικρό ζήτημα ασφαλείας επικεντρώνεται στο iAd Workbench της Apple, ένα εργαλείο που κυκλοφόρησε πρόσφατα και επιτρέπει στους χρήστες να δημιουργούν και να στοχεύουν καμπάνιες iAd για να δημιουργήσουν καλύτερα διαφημιστικά μηνύματα γύρω από τις εφαρμογές τους iOS. Ο Μπάλικ ανακάλυψε ότι αν χειρίζεστε ένα αίτημα που αποστέλλεται στον διακομιστή που εκτελεί το Workbench, θα σας επιτρέψει να προσπαθήσετε να προσθέσετε έναν νέο χρήστη στο λογαριασμό. Από εκεί θα μπορούσατε να δοκιμάσετε να προσθέσετε ονόματα, επώνυμα - ό, τι πραγματικά - και ο διακομιστής θα απαντούσε με ένα πλήρες όνομα και διεύθυνση ηλεκτρονικού ταχυδρομείου. Μόλις ο Μπάλιτς κατάλαβε όλο το εύρος του προβλήματος, αυτός (και εδώ είναι που το σκεπτικό του με χάνει λίγο) έγραψε ένα σενάριο Python για να διαγράψει όλα τα δεδομένα που βρήκε και έδειξε μερικά από αυτά στο YouTube.
Το βίντεο που δημοσιεύτηκε από τον Μπάλιτς στο YouTube έγινε έκτοτε ιδιωτικό. Είπε ότι πήρε τα στοιχεία χρήστη 73 υπαλλήλων της Apple ως απόδειξη ότι η διαδικασία του λειτούργησε. Μέχρι η Apple να διορθώσει την ευπάθεια, ο Balic ισχυρίζεται ότι έχει πρόσβαση σε 100.000+ διαπιστευτήρια χρηστών.
Ο Μπάλιτς δήλωσε στο TechCrunch ότι βρήκε επίσης μια ευπάθεια στο ίδιο το Dev Center, αλλά ισχυρίζεται ότι δεν το δοκίμασε ποτέ. Η Apple προφανώς θεώρησε ότι τα ευρήματά του δικαιολογούσαν σοβαρή δράση και το Dev Center βιώνει αυτήν τη στιγμή μια άνευ προηγουμένου διακοπή λειτουργίας.
Τα καλά νέα είναι ότι δεν φαίνεται ότι ο Μπαλίτς έχει κακόβουλη πρόθεση, αν και τα κίνητρά του εξακολουθούν να είναι δύσκολο να κατανοηθούν. Επίσης, δεν φαίνεται να διακυβεύονται οικονομικές πληροφορίες.
Επικοινωνήσαμε με τον Μπάλιτς για διευκρινίσεις σχετικά με το τι ακριβώς κατάφερε να ανακαλύψει και εάν η Apple έχει επικοινωνήσει προσωπικά μαζί του.
Πηγή: TechCrunch
