Hier nous vous disions qu'Ibrahim Balic, un expert en sécurité informatique, a découvert un bug qui lui permettait d'accéder aux informations des employés d'Apple, des développeurs d'applications, mais aussi des utilisateurs normaux. Les comptes de 73 salariés Apple et ceux de 100.000 XNUMX utilisateurs d'iTunes ont été consultés par Balic via une vulnérabilité du système iAd conçu par Apple. Balic a découvert la vulnérabilité le 18 juin, ainsi que 13 autres qui ont ensuite été envoyées à Apple, l'expert en sécurité affirmant que les requêtes envoyées aux serveurs d'Apple via iAd Workbench peuvent être facilement manipulées.
Il est dommage, cependant, que la vidéo semble si définitive : après avoir montré des images du centre de développement d'Apple en panne et la réponse officielle de l'entreprise, Balic a ensuite montré une multitude de fichiers qui semblaient contenir des noms complets et des adresses e-mail. Cela semble assez accablant, mais Balic dit qu'il ne s'est jamais attaqué directement au site Developer Center et que toutes les informations utilisateur qu'il a mises en évidence provenaient d'iAd Workbench. Deux bugs distincts ont ouvert la voie à une vidéo très déroutante.
Sur la base de cette vulnérabilité iAd, Balic a écrit un script Python qui lui a permis de collecter toutes les données présentées hier dans un clip vidéo, c'est-à-dire les milliers de comptes iTunes et ceux des employés d'Apple. Hormis cette vulnérabilité, Balic a découvert que via une attaque de type XSS, le portail dédié aux développeurs pouvait être exploité, il a affirmé ne pas l'avoir fait. Bien que pour prouver les vulnérabilités, il a obtenu les données des développeurs, Balic affirme qu'elles ne proviennent pas du Dev Center et qu'il n'a pris aucune autre donnée de ce portail, Apple déclarant exactement la même chose hier.
Tout au long de notre conversation, Balic a soutenu qu’il essayait uniquement d’aider Apple. Lorsqu'on lui a demandé pourquoi il avait téléchargé toutes ces données utilisateur plutôt que de simplement signaler le bug, Balic a répondu qu'il voulait simplement voir jusqu'où il pouvait aller. S'il avait voulu faire du mal, dit-il, il n'aurait pas rapporté tout ce qu'il a trouvé. Pour ce que ça vaut, il dit également qu'il n'a jamais tenté de réinitialiser le mot de passe de qui que ce soit : tout ce qu'il a fait, c'est d'envoyer un e-mail à l'une des adresses qu'il avait découvertes et de lui demander s'il s'agissait réellement de l'identifiant Apple de la personne. Balic n'a pas obtenu de réponse.
Malgré les déclarations faites par le développeur, s'il est réellement responsable de la fermeture du Dev Center, alors Apple pourrait prendre des mesures juridiques à son encontre et le poursuivre en justice pour les problèmes causés.
