Ayer os contamos que Ibrahim Balic, experto en seguridad informática, descubrió un fallo que le permitía acceder a información de los empleados de Apple, de los desarrolladores de aplicaciones, pero también de los usuarios normales. Las cuentas de 73 empleados de Apple y las de 100.000 usuarios de iTunes fueron accedidos por Balic a través de una vulnerabilidad del sistema iAd diseñado por Apple. Balic descubrió la vulnerabilidad el 18 de junio, junto con otras 13 que luego fueron enviadas a Apple, y el experto en seguridad afirmó que las solicitudes enviadas a los servidores de Apple a través de iAd Workbench pueden manipularse fácilmente.
Sin embargo, es una lástima que el video pareciera tan definitivo: después de mostrar imágenes del Centro de desarrollo de Apple caído y la respuesta oficial de la compañía, Balic mostró una gran cantidad de archivos que parecían contener nombres completos y direcciones de correo electrónico. Parece bastante condenatorio, pero Balic dice que nunca fue directamente al sitio del Centro de desarrolladores, y que toda la información del usuario que destacó provino de iAd Workbench. Dos errores distintos allanaron el camino para un vídeo muy confuso.
Basándose en esta vulnerabilidad de iAd, Balic escribió un script en Python que le permitió recopilar todos los datos presentados ayer en un vídeoclip, es decir, las miles de cuentas de iTunes y las de los empleados de Apple. Aparte de esta vulnerabilidad, Balic descubrió que mediante un ataque tipo XSS se puede explotar el portal dedicado a desarrolladores, afirmó que él no hizo esto. Aunque para comprobar las vulnerabilidades obtuvo los datos de los desarrolladores, Balic afirma que no proceden del Dev Center y que no tomó ningún otro dato de ese portal, Apple afirmó ayer exactamente lo mismo.
A lo largo de nuestra conversación, Balic sostuvo que solo intentaba ayudar a Apple. Cuando se le preguntó por qué descargó todos esos datos de usuario en lugar de simplemente informar el error, Balic dice que solo quería ver hasta qué punto "profundo" podía llegar. Si quisiera hacer el mal, dice, no habría informado de todo lo que encontró. Por si sirve de algo, también dice que nunca intentó restablecer la contraseña de nadie; lo más lejos que llegó fue enviar un correo electrónico a una de las direcciones que había descubierto y preguntar si realmente era el ID de Apple de la persona. Balic no obtuvo respuesta.
A pesar de las declaraciones del desarrollador, si realmente él es el culpable del cierre del Dev Center, entonces Apple podría tomar medidas legales contra él y demandarlo por los problemas causados.
