Ayer os contamos que Ibrahim Balic, experto en seguridad informática, descubrió un fallo que le permitía acceder a información de los empleados de Apple, de los desarrolladores de aplicaciones, pero también de los usuarios normales. Las cuentas de 73 empleados de Apple y las de 100.000 usuarios de iTunes fueron accedidos por Balic a través de una vulnerabilidad del sistema iAd diseñado por Apple. Balic descubrió la vulnerabilidad el 18 de junio, junto con otras 13 que luego fueron enviadas a Apple, y el experto en seguridad afirmó que las solicitudes enviadas a los servidores de Apple a través de iAd Workbench pueden manipularse fácilmente.
Sin embargo, es una lástima que el video pareciera tan definitivo: después de mostrar imágenes del Centro de desarrollo de Apple caído y la respuesta oficial de la compañía, Balic mostró una gran cantidad de archivos que parecían contener nombres completos y direcciones de correo electrónico. Parece bastante condenatorio, pero Balic dice que nunca fue directamente al sitio del Centro de desarrolladores, y que toda la información del usuario que destacó provino de iAd Workbench. Dos errores distintos allanaron el camino para un vídeo muy confuso.
Basándose en esta vulnerabilidad de iAd, Balic escribió un script en Python que le permitió recopilar todos los datos presentados ayer en un vídeoclip, es decir, las miles de cuentas de iTunes y las de los empleados de Apple. Aparte de esta vulnerabilidad, Balic descubrió que mediante un ataque tipo XSS se puede explotar el portal dedicado a desarrolladores, afirmó que él no hizo esto. Aunque para comprobar las vulnerabilidades obtuvo los datos de los desarrolladores, Balic afirma que no proceden del Dev Center y que no tomó ningún otro dato de ese portal, Apple afirmó ayer exactamente lo mismo.
A lo largo de nuestra conversación, Balic sostuvo que solo intentaba ayudar a Apple. Cuando se le preguntó por qué descargó todos esos datos de usuario en lugar de simplemente informar el error, Balic dice que solo quería ver hasta qué punto "profundo" podía llegar. Si quisiera hacer el mal, dice, no habría informado de todo lo que encontró. Por si sirve de algo, también dice que nunca intentó restablecer la contraseña de nadie; lo más lejos que llegó fue enviar un correo electrónico a una de las direcciones que había descubierto y preguntar si realmente era el ID de Apple de la persona. Balic no obtuvo respuesta.
A pesar de las declaraciones del desarrollador, si realmente él es el culpable del cierre del Dev Center, entonces Apple podría tomar medidas legales contra él y demandarlo por los problemas causados.
Intrebare: cum s-ar putea explica urmatoarea situatie? Zilele trecute, avand ip5 pe vibratii, descopar ca am missed call de la nr.meu; am sunat la orange si am cerut o explicatie, n-am primit; ieri am avut apel scurt facetime tot de la nr. meu… (dupa asta am schimbat pass la icloud, sa vedem daca ma mai apelez fara sa stiu)
A mai avut cineva asemenea intamplari?
A, markus, este exact ce scria in articol. Parola contului tau e compromisa si trebuie s-o schimbi. Citeste articolul ca scrie acolo
[…] Dupa mai bine de 3 saptamani de probleme, Apple a anuntat in cursul zilei de ieri repunerea in functiune a tuturor serviciilor care sunt disponibile prin portalul dedicat dezvoltatorilor pe website-ul sau. Pentru a impaca dezvoltatorii care au avut probleme in aceasta perioada, compania a decis sa prelungeasca gratuit cu o luna de zile abonamentele tuturor dezvoltatorilor si cu asta se incheie totul. Apple a schimbat sistemul in baza caruia ruleaza portalul sau, motivatia fiind descoperirea unei vulnerabilitati care permitea hackerilor sa acceseze informatii de…. […]