Минулого четверга Інтернет -центр розробників Apple пішов на технічне обслуговування. Хоча звичайне відключення зазвичай триває кілька годин, тільки в неділю ввечері Apple визнала проблему. В повідомлення своєму співтовариству розробників та пресі, Apple пояснила, що "зловмисник" зламав базу даних Центру розробників. Apple стверджувала, що у її користувачів не було вкрадено жодних особистих даних, але загроза була досить великою, щоб вимагати повного відновлення серверної частини сайту.
Турецький дослідник безпеки на ім'я Ібрагім Баліч виступив як особа, відповідальна за хакерство, хоча він не стверджує, що не має нечистот, і подав свої помилки Apple. Було розкрито більше інформації про те, як Balic пройшов повз безпеки Apple.
TechCrunch поговорив з Балічем про те, що він зробив, щоб отримати доступ до тисяч ідентифікаторів Apple. 25-річний хакер-дослідник безпеки, який шукав помилки для інших компаній, таких як Facebook. Він лише нещодавно звернув увагу на Apple з невідомих причин.
Він повідомив Apple про 13 помилок лише з 16 липня, а останній він подав 18 липня - того ж дня, коли Apple зняла Центр розробників. Дивно те, що загроза в основному оточувала iAd, рекламну платформу Apple.
Ця маленька проблема безпеки зосереджена навколо iAd Workbench від Apple, нещодавно запущеного інструменту, який дозволяє користувачам створювати та націлювати кампанії iAd, щоб краще створювати рекламу навколо своїх додатків iOS. Balic виявив, що якщо ви маніпулюєте запитом, надісланим на сервер, на якому працює Workbench, це дозволить вам спробувати додати нового користувача до облікового запису. Звідти ви можете спробувати ввести імена, прізвища - що завгодно насправді - і тоді сервер відповість повним іменем та адресою електронної пошти. Як тільки Баліч зрозумів усю суть проблеми, він (і тут його обґрунтування трохи втрачає мене) написав сценарій Python, щоб зібрати всі дані, які він міг знайти, і показав деякі з них на YouTube.
Відтепер опубліковане відео Balic на YouTube стало приватним. Він сказав, що взяв дані користувача 73 співробітників Apple як доказ того, що його процес працює. Поки Apple не усуне вразливість, Баліч стверджує, що має доступ до 100 000+ облікових даних користувачів.
Баліч розповів TechCrunch, що він також виявив уразливість у самому Dev Center, але він стверджує, що ніколи не пробував цього. Apple, очевидно, вважала, що його висновки виправдовують серйозні дії, і в даний час Центр розробників відчуває безпрецедентне відключення.
Хороша новина полягає в тому, що Баліч не схожий на злісні наміри, хоча його мотиви все ще важко зрозуміти. Схоже, що жодна фінансова інформація не буде скомпрометована.
Ми звернулися до Баліча за роз’ясненням, що саме він зміг розкрити, і чи Apple зв’язалася з ним особисто.
Джерело: TechCrunch