Niesamowicie niechlujne zabezpieczenia u jednego z kluczowych dostawców Apple ujawniły niektóre z najpilniej strzeżonych tajemnic Cupertino każdemu, kto mógłby przeprowadzić proste wyszukiwanie w Google.
Od miesięcy jeden z Komputer kwantowyDostęp do wewnętrznych baz danych można uzyskać za pomocą nazwy użytkownika i domyślnego hasła opublikowanego w prezentacji PowerPoint, którą można łatwo znaleźć w Internecie.
Quanta z siedzibą na Tajwanie jest największym na świecie producentem notebooków. Oprócz Apple Quanta montuje laptopy i ultrabooki dla kilkudziesięciu firm, w tym Della, Hewlett-Packarda, Sharpa i Sony. Firma podobno również montuje nadchodzące Zegarek Apple i od dawna podobno iPada Pro, choć nie wydano żadnych oficjalnych komunikatów.
Upadek bezpieczeństwa następuje w czasie gwałtownie przyspieszających incydentów hakerskich i cyberataków z kredytu naruszenia kart i nagie selfie celebrytów, które ujawniają się w szkodliwej kradzieży najbardziej wrażliwej firmy Sony dane. Fakt, że poufne plany firmy tak tajnej jak Apple mogą zostać ujawnione przez seria błędnych kroków w zakresie bezpieczeństwa ilustruje, jak trudno jest chronić informacje w formacie cyfrowym era.
Ścieżka do bazy danych Quanta rozpoczęła się we wrześniu ubiegłego roku, kiedy w przeddzień wielkiego wydarzenia związanego z premierą Apple Watch anonimowy użytkownik Reddit zamieszczone rysunki i szczegóły supertajnego urządzenia.
ten zdjęcia pokazały masywny kwadratowy korpus w dwóch różnych rozmiarach. Do tego momentu nie doszło do żadnych przecieków, a społeczność Apple była sceptyczna. Nie wyglądało to na urządzenie Apple. Ale przeciek okazał się prawdziwy i przewidywał wiele szczegółów ujawnionych przez Apple następnego dnia.
Informacje zostały zebrane ze zdjęć jednej z wewnętrznych prezentacji PowerPoint Quanty. Dokument nie jest jedynym dokumentem krążącym w Internecie: kilka innych poufnych dokumentów Quanta zostało opublikowanych online, a przynajmniej jeden podaje szczegóły i dane logowania do wewnętrznej bazy danych Quanta zawierającej szczegółowe schematy, które wydają się pokazywać inne nadchodzące Apple produkty. Szczegóły można znaleźć za pomocą prostego wyszukiwania Google.
Szybkie wyszukiwanie frazy „Quanta poufne” i „.ppt” — rozszerzenie pliku PowerPoint — powoduje wyświetlenie prezentacji zatytułowany „System Quanta PDM do badania substancji zastrzeżonych”, między innymi Cult of Mac jeszcze nie wykopał Poprzez. Dokument jest dublowany w kilku miejscach lub był.
Dokument pochodzi z 15 stycznia 2013 r. Opisuje bazę danych Quanta do zarządzania aspektami środowiskowymi produktów i komponentów. Wygląda na to, że prezentacja PowerPoint została stworzona, aby pokazać klientom Quanty, jak się zalogować i korzystać z systemu.
Co niewiarygodne, zawiera link do bazy danych oraz szczegóły dotyczące nazw użytkownika i domyślnego hasła dla co najmniej dwóch klientów, w tym Foxconn, głównego partnera produkcyjnego Apple w Chinach:
proszę wprowadzić swój numer konta domyślnie w nazwie użytkownika: kod dostawcy + trzy cyfry;
Domyślne hasło do strony internetowej dla „agile”, należy je zmienić po zalogowaniu
Kod dostawcy + trzy kody cyfrowe
(na przykład) FOX111
Źródło, którego Cult of Mac obiecał nie identyfikować, pokazało nam, jak każdy może zalogować się do systemu za pomocą jednej z nazw użytkownika i domyślnego hasła podanego w dokumencie.
Wygląda na to, że Quanta ustawiła to samo proste domyślne hasło dla wszystkich swoich klientów, a niektórzy klienci nie zmienili domyślnego hasła po pierwszym zalogowaniu.
Cult of Mac poinformował Apple i Quanta o problemie z bezpieczeństwem. Apple odmówiło komentarza, a Quanta nie odpowiedziała na nasze pytania, ale wygląda na to, że Quanta wyłączyła teraz konta w dokumencie PowerPoint i/lub zmieniła domyślne hasło.
Paul Ferguson, wiceprezes Threat Intelligence at IID, firma zajmująca się bezpieczeństwem w Internecie, ogólnie powiedziała, że używanie tego samego domyślnego hasła jest „bardzo głupią rzeczą do zrobienia”.
„Wszystkie organizacje — duże i małe — powinny odświeżyć dobre praktyki bezpieczeństwa i zacząć z nich aktywnie korzystać” — powiedział.