Utrolig slurvete sikkerhet hos en av Apples nøkkelleverandører avslørte noen av Cupertinos mest bevarte hemmeligheter for alle som kunne utføre et enkelt Google -søk.
I flere måneder har en av Quanta datamaskinDu kan få tilgang til interne databaser ved hjelp av brukernavn og et standardpassord som er publisert i en PowerPoint -presentasjon som er lett å finne på nettet.
Quanta, basert i Taiwan, er verdens største bærbare produsent. I tillegg til Apple, monterer Quanta bærbare datamaskiner og ultrabøker for dusinvis av selskaper, inkludert Dell, Hewlett-Packard, Sharp og Sony. Selskapet skal også montere det kommende Apple klokke og det lang ryktet iPad Pro, selv om det ikke er kommet noen offisielle kunngjøringer.
Sikkerhetsforfallet kommer i en tid med raskt akselererende hackinghendelser og cyberangrep, fra kreditt kortbrudd og kjendis naken selfie lekker til det skadelige tyveriet av Sonys mest følsomme selskap data. Det faktum at de konfidensielle planene til et så hemmelighetsfullt selskap som Apple kan avsløres gjennom en en rekke feilfeil i sikkerhet illustrerer hvor vanskelig det er å ivareta informasjon i det digitale æra.
Veien til Quantas database startet i september i fjor da, på tampen av den store lanseringen av Apple Watch, en anonym Reddit -bruker lagt ut tegninger og detaljer av den superhemmelige enheten.
De bildene viste en tykk firkantet bolig i to forskjellige størrelser. Frem til dette tidspunktet hadde det ikke skjedd noen endelige lekkasjer, og Apple -samfunnet var skeptisk. Det så ikke ut som en Apple -enhet. Men lekkasjen viste seg å være sann, og spådde mange detaljer avslørt av Apple dagen etter.
Informasjonen ble hentet fra fotografier av en av Quantas interne PowerPoint -presentasjoner. Dokumentet er heller ikke det eneste som flyter rundt på nettet: Flere andre konfidensielle Quanta -dokumenter har blitt publisert på nettet, og minst en gir detaljer og påloggingsinformasjon for en intern Quanta -database som inneholder detaljerte skjemaer som ser ut til å vise andre kommende Apple Produkter. Detaljene finner du med et enkelt Google -søk.
Et raskt søk etter uttrykket “Quanta Confidential” og “.ppt” - filtypen PowerPoint - trekker frem en presentasjon med tittelen "Quanta PDM system for Restricted Substances Investigation", blant andre Cult of Mac har ennå ikke gravd gjennom. Dokumentet er speilet flere steder, eller var.
Dokumentet er fra 15. januar 2013. Den beskriver en Quanta -database for å håndtere miljøaspektene til produkter og komponenter. PowerPoint -presentasjonen ser ut til å ha blitt laget for å vise Quantas kunder hvordan de logger på og bruker systemet.
Utrolig nok inneholder den en lenke til databasen og detaljer om brukernavn og standardpassord for minst to kunder, inkludert Foxconn, Apples viktigste produksjonspartner i Kina:
vennligst skriv inn kontonummeret ditt i brukernavnet: Leverandørkode+ tre digitale tall
standardpassord for nettside for ‘smidig’, vennligst endre det etter at du har logget inn
Leverandørkode+ tre digitale koder
(for eksempel) FOX111
En kilde, som Cult of Mac lovte å ikke identifisere, demonstrerte for oss hvordan alle kunne logge seg på systemet ved å bruke et av brukernavnene og standardpassordet som er oppgitt i dokumentet.
Det ser ut til at Quanta konfigurerte det samme enkle standardpassordet for alle sine kunder, og at noen kunder ikke endret standarden etter å ha logget på for første gang.
Cult of Mac informerte Apple og Quanta om sikkerhetsproblemet. Apple nektet å kommentere, og Quanta har ikke svart på spørsmålene våre, men det ser ut til at Quanta nå har deaktivert kontoene i PowerPoint -dokumentet og/eller endret standardpassordet.
Paul Ferguson, visepresident for Threat Intelligence at IID, et internettsikkerhetsfirma, sa generelt at bruk av det samme standardpassordet er "en veldig dum ting å gjøre."
"Alle organisasjoner - store som små - bør pusse opp god sikkerhetspraksis, og begynne å bruke dem aktivt," sa han.