I går fortalte vi dig, at Ibrahim Balic, en ekspert i computersikkerhed, opdagede en fejl, der gjorde det muligt for ham at få adgang til oplysninger om Apple-ansatte, af applikationsudviklere, men også af normale brugere. Konti for 73 Apple-ansatte og 100.000 iTunes-brugeres konti blev tilgået af Balic gennem en sårbarhed i iAd-systemet designet af Apple. Balic opdagede sårbarheden den 18. juni sammen med 13 andre, der senere blev sendt til Apple, sikkerhedseksperten hævder, at anmodninger sendt til Apples servere gennem iAd Workbench nemt kan manipuleres.
Det er dog for dårligt, at videoen virkede så definitiv: Efter at have vist billeder af Apples nedlagte Dev Center og virksomhedens officielle svar, viste Balic derefter en række filer, der så ud til at indeholde fulde navne og e-mailadresser. Det virker ret fordømmende, men Balic siger, at han aldrig gik direkte efter Developer Center-webstedet, og al den brugerinformation, han fremhævede, kom fra iAd Workbench. To separate fejl banede vejen for en meget forvirrende video.
Baseret på denne iAd-sårbarhed skrev Balic et Python-script, der gjorde det muligt for ham at indsamle alle de data, der blev præsenteret i går i et videoklip, det vil sige tusindvis af iTunes-konti og Apple-ansattes. Bortset fra denne sårbarhed opdagede Balic, at gennem et XSS-angreb kan portalen dedikeret til udviklere udnyttes, han bekræftede, at han ikke gjorde dette. Selvom han for at bevise sårbarhederne fik udviklernes data, hævder Balic, at de ikke kommer fra Dev Center, og at han ikke tog andre data fra den portal, Apple oplyste nøjagtig det samme i går.
Gennem hele vores samtale fastholdt Balic, at han kun prøvede at hjælpe Apple. På spørgsmålet om, hvorfor han downloadede alle de brugerdata i stedet for blot at rapportere fejlen, siger Balic, at han bare ville se, hvor "dybt" han kunne gå. Hvis han ville have det dårligt, siger han, ville han ikke have anmeldt alt, hvad han fandt. For hvad det er værd, siger han også, at han aldrig forsøgte at nulstille nogens adgangskode - det længste, han gik, var at sende en e-mail til en af de adresser, han havde opdaget, og spørge, om det virkelig var personens Apple-id. Balic fik ikke noget svar.
På trods af udtalelserne fra udvikleren, hvis han virkelig er skyld i at lukke Dev Center, så kan Apple tage juridiske foranstaltninger mod ham og sagsøge ham for de problemer, der er forårsaget.
