Giovedì scorso, il Developer Center online di Apple è andato giù per manutenzione. Mentre l'interruzione regolare dura in genere alcune ore, è stato solo domenica sera che Apple ha riconosciuto il problema. In un messaggio alla sua comunità di sviluppatori e alla stampa, Apple ha spiegato che un "intruso" aveva violato il database del Dev Center. Apple ha affermato che nessun dato personale è stato rubato ai suoi utenti, ma la minaccia era abbastanza grande da giustificare una ricostruzione completa del backend del sito.
Un ricercatore di sicurezza turco di nome Ibrahim Balic si è presentato come il responsabile dell'hack, sebbene non affermi alcun gioco scorretto e abbia presentato i suoi bug ad Apple. Sono state rivelate ulteriori informazioni su come Balic ha superato la sicurezza di Apple.
TechCrunch ha parlato con Balic di ciò che ha fatto per ottenere l'accesso a migliaia di ID Apple. L'hacker di 25 anni è un ricercatore di sicurezza che è andato a caccia di bug per altre aziende come Facebook. Solo di recente ha rivolto la sua attenzione ad Apple per ragioni sconosciute.
Ha segnalato 13 bug ad Apple solo dal 16 luglio e l'ultimo che ha presentato è stato il 18 luglio, lo stesso giorno in cui Apple ha disattivato il Dev Center. La cosa sorprendente è che la minaccia circondava principalmente iAd, la piattaforma pubblicitaria di Apple.
Questo piccolo problema di sicurezza è incentrato su iAd Workbench di Apple, uno strumento lanciato di recente che consente agli utenti di creare e indirizzare le campagne iAd per creare un clamore migliore attorno alle loro app iOS. Balic ha scoperto che se hai manipolato una richiesta inviata al server che esegue Workbench, ti avrebbe permesso di provare ad aggiungere un nuovo utente all'account. Da lì potresti provare a inserire nomi, cognomi - qualunque cosa veramente - e il server risponderebbe con un nome completo e un indirizzo email. Una volta che Balic ha compreso l'intera portata del problema, lui (ed è qui che la sua logica mi perde un po') ha scritto uno script Python per raschiare tutti i dati che è riuscito a trovare e ne ha mostrati alcuni su YouTube.
Il video di YouTube pubblicato da Balic è stato poi reso privato. Ha detto di aver preso i dettagli utente di 73 dipendenti Apple come prova che il suo processo ha funzionato. Fino a quando Apple non risolverà la vulnerabilità, Balic afferma di avere accesso a oltre 100.000 credenziali utente.
Balic ha detto a TechCrunch di aver trovato una vulnerabilità anche nel Dev Center stesso, ma afferma di non averlo mai provato. Apple ovviamente pensava che le sue scoperte giustificassero un'azione seria e il Dev Center sta attualmente vivendo un'interruzione senza precedenti.
La buona notizia è che non sembra che Balic abbia intenzioni malevole, anche se le sue motivazioni sono ancora difficili da capire. Nessuna informazione finanziaria sembra essere compromessa.
Abbiamo contattato Balic per chiarimenti su cosa esattamente è stato in grado di scoprire e se Apple lo ha contattato personalmente.
Fonte: TechCrunch
