Ieri vi abbiamo raccontato che Ibrahim Balic, esperto di sicurezza informatica, ha scoperto un bug che gli permetteva di accedere alle informazioni dei dipendenti Apple, degli sviluppatori di applicazioni, ma anche dei normali utenti. I conti di 73 dipendenti Apple e quelli di 100.000 utenti iTunes si è avuto accesso da Balic attraverso una vulnerabilità del sistema iAd progettato da Apple. Balic ha scoperto la vulnerabilità il 18 giugno, insieme ad altre 13 vulnerabilità che sono state successivamente inviate ad Apple, l'esperto di sicurezza sostiene che le richieste inviate ai server Apple tramite iAd Workbench possono essere facilmente manipolate.
È un peccato, però, che il video sembrasse così definitivo: dopo aver mostrato le immagini del Dev Center di Apple crollato e la risposta ufficiale dell'azienda, Balic ha mostrato una serie di file che sembravano contenere nomi completi e indirizzi e-mail. Sembra piuttosto dannoso, ma Balic afferma di non aver mai cercato direttamente il sito del Developer Center e che tutte le informazioni sull'utente che ha evidenziato provenivano da iAd Workbench. Due bug separati hanno aperto la strada a un video molto confuso.
Basandosi su questa vulnerabilità di iAd, Balic ha scritto uno script Python che gli ha permesso di raccogliere tutti i dati presentati ieri in un video, cioè le migliaia di account iTunes e quelli dei dipendenti Apple. A parte questa vulnerabilità, Balic ha scoperto che attraverso un attacco di tipo XSS si può sfruttare il portale dedicato agli sviluppatori, affermando di non averlo fatto. Sebbene per dimostrare le vulnerabilità abbia ottenuto i dati degli sviluppatori, Balic afferma che questi non provengono dal Dev Center e che non ha prelevato nessun altro dato da quel portale, come Apple ha affermato ieri esattamente la stessa cosa.
Durante la nostra conversazione, Balic ha affermato che stava solo cercando di aiutare Apple. Quando gli è stato chiesto perché avesse scaricato tutti i dati utente invece di limitarsi a segnalare il bug, Balic ha risposto che voleva solo vedere quanto "in profondità" poteva arrivare. Se avesse voluto fare del male, dice, non avrebbe riferito tutto quello che ha trovato. Per quello che vale, dice anche di non aver mai tentato di reimpostare la password di nessuno: il massimo che è arrivato è stato inviare un'e-mail a uno degli indirizzi che aveva scoperto e chiedere se era davvero l'ID Apple della persona. Balic non ha ricevuto risposta.
Nonostante le dichiarazioni dello sviluppatore, se fosse davvero lui il colpevole della chiusura del Dev Center, allora Apple potrebbe intraprendere azioni legali contro di lui e denunciarlo per i problemi causati.
