Стали известны подробности взлома Apple Developer Center
В прошлый четверг портал для разработчиков Apple был отключен по причине проведения восстановительных работ. Обычно они длятся недолго (всего несколько часов), но до воскресенья сайт не работал, а сама Apple до этого времени никак данный факт не объясняла. По словам Apple, «злоумышленник» проник в базу данных Dev Center. При этом никаких конфиденциальных личных данных похищено не было.
Фотография из Twitter
Ибрахим Балик утверждает, что именно он стоит за взломом. Никаких злых намерений у хакера не было, об ошибках в системе он сообщил Apple.
TechCrunch взял интервью у Балика. Двадцатипятилетний хакер — исследователь в области безопасности, занимающийся поиском уязвимостей и недочетов для других компаний (к примеру, Facebook). Лишь недавно по неизвестной причине он обратил свое внимание на Apple.
С 16 июля ему удалось отыскать 13 багов (недочетов), о которых он непременно сообщил Apple. Последний, о котором он доложил компании, и послужил причиной временного закрытия портала для разработчиков. Не поверите, корень этой уязвимости лежит в iAd, рекламной платформе Apple.
Уязвимость основана на iAd Workbench, недавно представленном инструменте, позволяющем пользователям лучше таргетировать рекламу iAd. Балик обнаружил, что если послать особый запрос на сервер, на котором работает Workbench, он попытается добавить нового пользователя к учетной записи. После этого можно сделать запрос с указанием имени, фамилии (или чего-либо другого), на что сервер дает ответ в виде полной информации, включающей имя, фамилию и адрес электронной почты (email). Как только Балик обнаружил это, он написал скрипт на языке Python, который загружал все данные, до которых только мог добраться. Часть из них он показал в видео на YouTube.
Видео, размещенное Баликом, стало приватным. В доказательство работоспособности этой уязвимости он загрузил данные 73 сотрудников Apple. О реакции компании вы уже знаете — портал для разработчиков до сих пор (на момент написания статьи) не работает.
© AppleMix