Kamis lalu, Pusat Pengembang online Apple turun untuk pemeliharaan. Sementara pemadaman reguler biasanya berlangsung beberapa jam, baru pada Minggu malam Apple mengakui masalah tersebut. Di sebuah pesan ke komunitas pengembangnya dan pers, Apple menjelaskan bahwa "penyusup" telah melanggar database Dev Center. Apple mengklaim bahwa tidak ada data pribadi yang dicuri dari penggunanya, tetapi ancamannya cukup besar untuk menjamin pembangunan kembali backend situs secara menyeluruh.
Seorang peneliti keamanan Turki bernama Ibrahim Balic telah maju sebagai orang yang bertanggung jawab atas peretasan itu, meskipun ia mengklaim tidak ada kecurangan dan telah mengirimkan bug-nya ke Apple. Informasi lebih lanjut telah terungkap tentang bagaimana Balic melewati keamanan Apple.
TechCrunch berbicara dengan Balic tentang apa yang dia lakukan untuk mendapatkan akses ke ribuan ID Apple. Peretas berusia 25 tahun adalah peneliti keamanan yang telah berburu bug untuk perusahaan lain seperti Facebook. Dia baru-baru ini mengalihkan perhatiannya ke Apple untuk alasan yang tidak diketahui.
Dia telah melaporkan 13 bug ke Apple sejak hanya 16 Juli, dan yang terakhir dia ajukan adalah pada 18 Juli — hari yang sama Apple menurunkan Dev Center. Yang mengejutkan adalah bahwa ancaman tersebut terutama mengepung iAd, platform periklanan Apple.
Masalah keamanan kecil itu berpusat di sekitar Apple iAd Workbench, alat yang baru saja diluncurkan yang memungkinkan pengguna membuat dan menargetkan kampanye iAd untuk membangun hype di sekitar aplikasi iOS mereka dengan lebih baik. Balic menemukan bahwa jika Anda memanipulasi permintaan yang dikirim ke server yang menjalankan Workbench, itu akan memungkinkan Anda untuk mencoba menambahkan pengguna baru ke akun. Dari sana Anda dapat mencoba memasukkan nama depan, nama belakang — apa pun yang sebenarnya — dan server kemudian akan merespons dengan nama lengkap dan alamat email. Setelah Balic memahami ruang lingkup masalah secara penuh, dia (dan di sinilah alasannya membuat saya sedikit kehilangan akal) menulis skrip Python untuk mengikis semua data yang dapat dia temukan dan tunjukkan sebagian di YouTube.
Video YouTube yang diposting Balic telah dijadikan pribadi. Dia mengatakan dia mengambil 73 detail pengguna karyawan Apple sebagai bukti bahwa prosesnya berhasil. Sampai Apple memperbaiki kerentanan, Balic mengklaim dia memiliki akses ke 100.000+ kredensial pengguna.
Balic mengatakan kepada TechCrunch bahwa dia juga menemukan kerentanan di Dev Center itu sendiri, tetapi dia mengklaim bahwa dia tidak pernah mencobanya. Apple jelas menganggap temuannya memerlukan tindakan serius, dan Dev Center saat ini mengalami pemadaman yang belum pernah terjadi sebelumnya.
Kabar baiknya adalah sepertinya Balic tidak memiliki niat jahat, meskipun motifnya masih sulit untuk dipahami. Tidak ada informasi keuangan yang tampaknya dikompromikan juga.
Kami telah menghubungi Balic untuk klarifikasi tentang apa sebenarnya yang dapat dia ungkapkan, dan apakah Apple telah menghubunginya secara pribadi.
Sumber: TechCrunch