Ongelooflijk slordige beveiliging bij een van de belangrijkste leveranciers van Apple onthulde enkele van Cupertino's best bewaarde geheimen voor iedereen die een eenvoudige Google-zoekopdracht kon uitvoeren.
Maandenlang een van Quanta-computerDe interne databases konden worden geopend met behulp van gebruikersnamen en een standaardwachtwoord dat werd gepubliceerd in een PowerPoint-presentatie die gemakkelijk op internet te vinden was.
Quanta, gevestigd in Taiwan, is 's werelds grootste notebookfabrikant. Naast Apple assembleert Quanta laptops en ultrabooks voor tientallen bedrijven, waaronder Dell, Hewlett-Packard, Sharp en Sony. Het bedrijf zou ook de aanstaande assembleren Apple Watch en de lang geruchte iPad Pro, hoewel er geen officiële aankondigingen zijn gedaan.
De beveiligingsfout komt op een moment van snel versnellende hackincidenten en cyberaanvallen, van krediet kaartinbreuken en naakte selfie-lekken van beroemdheden tot de schadelijke diefstal van Sony's meest gevoelige bedrijf gegevens. Het feit dat de vertrouwelijke plannen van een bedrijf dat zo geheimzinnig is als Apple kunnen worden onthuld door middel van een reeks beveiligingsfouten illustreert hoe moeilijk het is om informatie in het digitale te beveiligen tijdperk.
Het pad naar Quanta's database begon afgelopen september toen, aan de vooravond van het grote Apple Watch-lanceringsevenement, een anonieme Reddit-gebruiker geplaatste tekeningen en details van het supergeheime apparaat.
De afbeeldingen toonden een dikke vierkante behuizing in twee verschillende maten. Tot nu toe waren er geen definitieve lekken opgetreden en de Apple-gemeenschap was sceptisch. Het zag er niet uit als een Apple-apparaat. Maar het lek bleek waar te zijn en voorspelde veel details die Apple de volgende dag zou onthullen.
De informatie is ontleend aan foto's van een van Quanta's interne PowerPoint-presentaties. Het document is ook niet het enige dat online rondzweeft: er zijn verschillende andere vertrouwelijke Quanta-documenten online gepubliceerd, en tenminste één geeft details en inloggegevens voor een interne Quanta-database met gedetailleerde schema's die andere aankomende Apple lijken te tonen producten. De details zijn te vinden met een simpele Google-zoekopdracht.
Een snelle zoekopdracht naar de uitdrukking "Quanta vertrouwelijk" en ".ppt" - de PowerPoint-bestandsextensie - levert een presentatie op getiteld "Quanta PDM-systeem voor onderzoek naar verboden stoffen", waaronder verschillende andere die Cult of Mac nog niet heeft gegraven door. Het document is op meerdere plaatsen gespiegeld, of was.
Het document dateert van 15 januari 2013. Het beschrijft een Quanta-database voor het beheer van de milieuaspecten van producten en componenten. De PowerPoint-presentatie lijkt gemaakt te zijn om de klanten van Quanta te laten zien hoe ze kunnen inloggen en het systeem kunnen gebruiken.
Ongelooflijk, het bevat een link naar de database en details van de gebruikersnamen en het standaardwachtwoord voor ten minste twee klanten, waaronder Foxconn, de belangrijkste productiepartner van Apple in China:
voer uw accountnummer standaard in gebruikersnaam in (Leverancierscode + drie digitale nummers)
webpagina standaard wachtwoord voor 'agile', verander het na het inloggen
Leverancierscode + drie digitale code
(bijvoorbeeld) FOX111
Een bron, die Cult of Mac beloofde niet te identificeren, demonstreerde ons hoe iemand op het systeem kon inloggen met een van de gebruikersnamen en het standaardwachtwoord dat in het document wordt genoemd.
Het lijkt erop dat Quanta voor al haar klanten hetzelfde eenvoudige standaardwachtwoord heeft ingesteld en dat sommige klanten het standaardwachtwoord niet hebben gewijzigd nadat ze voor de eerste keer waren ingelogd.
Cult of Mac informeerde Apple en Quanta over het beveiligingsprobleem. Apple weigerde commentaar te geven en Quanta heeft niet gereageerd op onze vragen, maar het lijkt erop dat Quanta nu de accounts in het PowerPoint-document heeft uitgeschakeld en/of het standaardwachtwoord heeft gewijzigd.
Paul Ferguson, vice-president van Threat Intelligence bij IID, een internetbeveiligingsbedrijf, zei in het algemeen dat het gebruik van hetzelfde standaardwachtwoord "heel stom is om te doen".
"Alle organisaties - groot en klein - zouden goede beveiligingspraktijken moeten opfrissen en actief gaan gebruiken", zei hij.