Wczoraj informowaliśmy, że Ibrahim Balic, ekspert ds. bezpieczeństwa komputerów, odkrył błąd, który umożliwił mu dostęp do informacji pracowników Apple, twórców aplikacji, ale także zwykłych użytkowników. Konta 73 pracowników Apple i 100.000 XNUMX użytkowników iTunes były dostępne przez Balic poprzez lukę w systemie iAd zaprojektowanym przez Apple. Balic odkrył tę lukę 18 czerwca wraz z 13 innymi lukami, które później wysłano do Apple. Ekspert ds. bezpieczeństwa twierdził, że żądaniami wysyłanymi do serwerów Apple za pośrednictwem iAd Workbench można łatwo manipulować.
Szkoda jednak, że wideo wydawało się tak ostateczne: po pokazaniu zdjęć zniszczonego centrum deweloperskiego Apple i oficjalnej odpowiedzi firmy, Balic pokazał mnóstwo plików, które zdawały się zawierać pełne imiona i nazwiska oraz adresy e-mail. Wydaje się to dość potępiające, ale Balic twierdzi, że nigdy nie odwiedzał bezpośrednio witryny Developer Center, a wszystkie informacje o użytkownikach, które podkreślił, pochodziły z iAd Workbench. Dwa oddzielne błędy utorowały drogę do jednego bardzo zagmatwanego filmu.
W oparciu o tę lukę w iAd Balic napisał skrypt w Pythonie, który pozwolił mu zebrać wszystkie dane zaprezentowane wczoraj w klipie wideo, czyli tysiące kont iTunes i kont pracowników Apple. Oprócz tej luki Balic odkrył, że poprzez atak typu XSS można wykorzystać portal przeznaczony dla programistów, zapewnił, że tego nie zrobił. Choć w celu udowodnienia podatności pozyskał dane twórców, Balic twierdzi, że nie pochodzą one z Dev Center i że nie pobrał z tego portalu żadnych innych danych, co wczoraj Apple stwierdził dokładnie to samo.
Przez całą naszą rozmowę Balic utrzymywał, że zawsze starał się jedynie pomóc Apple. Zapytany, dlaczego pobrał wszystkie te dane użytkownika, zamiast po prostu zgłosić błąd, Balic odpowiada, że chciał po prostu zobaczyć, jak „głęboko” może zejść. Mówi, że gdyby chciał zachorować, nie zgłaszałby wszystkiego, co znalazł. O ile ma to znaczenie, twierdzi też, że nigdy nie próbował resetować niczyjego hasła — jedyne, co posunął się, to wysłanie e-maila na jeden ze znalezionych adresów i zapytanie, czy to naprawdę Apple ID tej osoby. Balić nie otrzymał odpowiedzi.
Wbrew zapewnieniom dewelopera, jeśli rzeczywiście to on jest winien zamknięcia Dev Center, to Apple może podjąć przeciwko niemu kroki prawne i pozwać go za spowodowane problemy.
