Gestern haben wir Ihnen mitgeteilt, dass Ibrahim Balic, ein Experte für Computersicherheit, einen Fehler entdeckt hat, der es ihm ermöglichte, auf Informationen von Apple-Mitarbeitern zuzugreifen, von Anwendungsentwicklern, aber auch von normalen Benutzern. Die Accounts von 73 Apple-Mitarbeitern und die von 100.000 iTunes-Nutzern auf die zugegriffen wurde von Balic durch eine Schwachstelle des von Apple entwickelten iAd-Systems. Balic entdeckte die Sicherheitslücke am 18. Juni zusammen mit 13 weiteren, die später an Apple gesendet wurden. Der Sicherheitsexperte behauptete, dass über iAd Workbench an Apples Server gesendete Anfragen leicht manipuliert werden könnten.
Es ist jedoch schade, dass das Video so eindeutig wirkte: Nachdem Balic Bilder von Apples heruntergekommenem Dev Center und der offiziellen Reaktion des Unternehmens gezeigt hatte, zeigte er anschließend eine Reihe von Dateien, die anscheinend vollständige Namen und E-Mail-Adressen enthielten. Es scheint ziemlich vernichtend zu sein, aber Balic sagt, dass er sich nie direkt an die Developer Center-Site gewandt hat und alle von ihm hervorgehobenen Benutzerinformationen von der iAd Workbench stammten. Zwei verschiedene Fehler ebneten den Weg für ein sehr verwirrendes Video.
Basierend auf dieser iAd-Schwachstelle schrieb Balic ein Python-Skript, das es ihm ermöglichte, alle gestern in einem Videoclip präsentierten Daten zu sammeln, also die Tausenden von iTunes-Konten und die von Apple-Mitarbeitern. Abgesehen von dieser Schwachstelle entdeckte Balic, dass durch einen XSS-Angriff das Portal für Entwickler ausgenutzt werden kann, er versicherte, dass er dies nicht getan habe. Um die Schwachstellen zu beweisen, habe er sich zwar die Daten der Entwickler beschafft, behauptet jedoch, dass diese nicht aus dem Dev Center stammten und dass er auch keine anderen Daten von diesem Portal übernommen habe. Apple hat gestern genau das Gleiche behauptet.
Während unseres gesamten Gesprächs beharrte Balic darauf, dass er immer nur versucht habe, Apple zu helfen. Auf die Frage, warum er all diese Benutzerdaten heruntergeladen habe, anstatt den Fehler einfach zu melden, antwortete Balic, er wolle nur sehen, wie „tief“ er vorgehen könne. Wenn er Böses tun wollte, hätte er nicht alles gemeldet, was er gefunden hätte, sagt er. Er sagt auch, dass er nie versucht hat, das Passwort einer anderen Person zurückzusetzen – er ging lediglich per E-Mail an eine der Adressen, die er entdeckt hatte, und fragte, ob es sich wirklich um die Apple-ID der Person handele. Balic erhielt keine Antwort.
Entgegen den Aussagen des Entwicklers: Sollte er wirklich die Schuld an der Schließung des Dev Centers tragen, könnte Apple rechtliche Schritte gegen ihn einleiten und ihn wegen der entstandenen Probleme verklagen.
