Neįtikėtinai apleistas vieno iš pagrindinių „Apple“ tiekėjų saugumas atskleidė kai kurias kruopščiausiai saugomas „Cupertino“ paslaptis visiems, kurie galėtų atlikti paprastą „Google“ paiešką.
Mėnesius, vienas iš „Quanta“ kompiuterisVidines duomenų bazes buvo galima pasiekti naudojant vartotojo vardus ir numatytąjį slaptažodį, paskelbtą „PowerPoint“ pristatyme, kurį lengva rasti internete.
„Quanta“, įsikūrusi Taivane, yra didžiausia pasaulyje nešiojamųjų kompiuterių gamintoja. Be „Apple“, „Quanta“ renka nešiojamuosius kompiuterius ir „ultrabook“ knygas dešimtims įmonių, įskaitant „Dell“, „Hewlett-Packard“, „Sharp“ ir „Sony“. Bendrovė taip pat tariamai renka būsimą „Apple Watch“ ir seniai gandai „iPad Pro“, nors oficialių pranešimų nebuvo.
Saugumas išnyksta tuo metu, kai dėl kredito sparčiai įsibėgėja įsilaužimo incidentai ir kibernetinės atakos kortelių pažeidimai ir įžymybių nuogų asmenukių nutekėjimas dėl žalingos jautriausios „Sony“ įmonės vagystės duomenis. Tai, kad konfidencialūs tokios slaptos bendrovės kaip „Apple“ planai gali būti atskleisti per Saugumo klaidų serija parodo, kaip sunku apsaugoti informaciją skaitmeninėje erdvėje eros.
Kelias į „Quanta“ duomenų bazę prasidėjo praėjusių metų rugsėjį, kai didžiojo „Apple Watch“ pristatymo renginio išvakarėse anoniminis „Reddit“ vartotojas paskelbė brėžinius ir detales itin slapto prietaiso.
The vaizdai parodė storą kvadratinį korpusą dviejų skirtingų dydžių. Iki šiol galutinis nutekėjimas neįvyko, o „Apple“ bendruomenė buvo skeptiška. Tai neatrodė kaip „Apple“ įrenginys. Tačiau nutekėjimas pasirodė esąs tikras ir numatė daugybę „Apple“ kitą dieną atskleistų detalių.
Informacija buvo surinkta iš vieno „Quanta“ vidinio „PowerPoint“ pristatymo nuotraukų. Dokumentas taip pat nėra vienintelis internete: internete paskelbti keli kiti konfidencialūs „Quanta“ dokumentai ir bent jau vienas pateikia išsamią informaciją ir prisijungimo informaciją apie vidinę „Quanta“ duomenų bazę, kurioje yra išsamios schemos, rodančios, kad bus rodomas kitas būsimas „Apple“ Produktai. Išsamią informaciją galima rasti naudojant paprastą „Google“ paiešką.
Greita frazės „Quanta konfidenciali“ ir „.ppt“ - „PowerPoint“ failo plėtinio - paieška sukuria pristatymą pavadinimu „Quanta PDM sistema ribotų medžiagų tyrimams“, be kitų dalykų, „Cult of Mac“ dar nebuvo iškasta per. Dokumentas yra atspindėtas keliose vietose arba buvo.
Dokumentas yra nuo 2013 m. Sausio 15 d. Jame aprašoma „Quanta“ duomenų bazė, skirta produktų ir komponentų aplinkosaugos aspektams valdyti. Atrodo, kad „PowerPoint“ pristatymas buvo parodytas „Quanta“ klientams, kaip prisijungti ir naudotis sistema.
Neįtikėtina, bet jame yra nuoroda į duomenų bazę ir išsami informacija apie vartotojo vardus ir numatytąjį slaptažodį mažiausiai dviem klientams, įskaitant „Foxconn“, pagrindinį „Apple“ gamybos partnerį Kinijoje:
įveskite numatytąjį paskyros numerį į vartotojo vardą : Tiekėjo kodas+ trys skaitmeniniai skaičiai
„Agile“ numatytasis tinklalapio slaptažodis, pakeiskite jį prisijungę
Tiekėjo kodas+ trys skaitmeniniai kodai
(pavyzdžiui) FOX111
Šaltinis, kurio „Cult of Mac“ pažadėjo neatpažinti, mums pademonstravo, kaip kiekvienas gali prisijungti prie sistemos naudodamas vieną iš vartotojo vardų ir numatytąjį slaptažodį, nurodytą dokumente.
Atrodo, kad „Quanta“ visiems savo klientams nustatė tą patį paprastą numatytąjį slaptažodį, o kai kurie klientai pirmą kartą prisijungę nepakeitė numatytojo.
„Cult of Mac“ informavo „Apple“ ir „Quanta“ apie saugumo problemą. „Apple“ atsisakė komentuoti, o „Quanta“ neatsakė į mūsų užklausas, tačiau atrodo, kad „Quanta“ dabar išjungė „PowerPoint“ dokumento paskyras ir (arba) pakeitė numatytąjį slaptažodį.
Paul Ferguson, „Threat Intelligence“ viceprezidentas IID, interneto saugumo įmonė, apskritai teigė, kad to paties numatyto slaptažodžio naudojimas yra „labai kvailas dalykas“.
„Visos organizacijos - didelės ir mažos - turėtų pasinaudoti gerąja saugumo praktika ir pradėti ją aktyviai naudoti“, - sakė jis.