Trovata una falla nel sito per gli sviluppatori offline da giovedì. Migliaia di email e password a rischio. Apple si scusa
Gli hacker non vanno in vacanza. Apple ha confermato come alcuni abbiamo violato il suo portale per gli sviluppatori prendendo nota di almeno 275.000 account registrati, sia privati che di terze parti, che potrebbero essere stati rubati. Il portale developer.apple.com giovedì era irraggiungibile senza alcuna spiegazione da parte dell’azienda causando non pochi dubbi tra gli stessi iscritti circa la possibilità di un ingresso malevolo.
Mamma li turchi
Sembra che dietro l’hack ci sia un ricercatore di sicurezza turco, Ibrahim Balic, che ha affermato di aver violato lui il sistema con l’intenzione di dimostrare quanto fosse poco protetto e in balìa di alcuni bug. Ha pubblicato un video su Youtube che sembra dimostrare come il sito fosse vulnerabile ad un attacco aggiungendo di aver “riportato tutti i bug che ho trovato alla compagnia aspettando a lungo per l’approvazione.” Uno screenshot del video ha mostrato un bug depositato il 19 luglio, il giorno stesso che il sito è stato messo giù. “Vista la possibilità di perdita di informazioni e dati sensibili, penso che si dovrebbe cercare di risolvere il problema al più presto possibile.”
Cupertino ha lasciato una porta aperta
Apple ha affermato di star rivedendo completamente i sistemi di sviluppo sia dal lato software che hardware, ricostruendo il database. Alcuni sviluppatori hanno riferito di aver ricevuto la notifica di reimpostazione delle password dell’account Apple utilizzato per accedere al portale, il che suggerisce che qualche hacker sia riuscito a copiare alcuni dettagli chiave, come gli indirizzi email, cercando di sfruttare la falla. Il dubbio è che se gli hacker sono riusciti ad intrufolarsi con successo nella pagina di uno sviluppatore potrebbero essere in grado di caricare applicazioni malevoli nell’App Store. Tuttavia Apple ha detto come i due ambienti siano completamente diversi con l’accesso al backend di sviluppo che non comporta il via libera verso la pubblicazione di app. Ecco lo statement ufficiale:
“Giovedi scorso un intruso ha tentato di rubare le informazioni personali dei nostri sviluppatori registrati sul sito web dedicato. Non è possibile accedere ai dati personali crittografati, però non siamo stati in grado di escludere la possibilità che alcune informazioni degli iscritti (nomi, indirizzi postali e / o indirizzi email) possano essere letti. Nel pieno spirito di trasparenza abbiamo voluto informarvi del problema. Come precausione abbiamo messo offline il sito Giovedi lavorando tutto il giorno da allora. Al fine di prevenire una minaccia per la sicurezza stiamo completamente revisionare i nostri sistemi di sviluppo, aggiornando il nostro software e i server con una precisa ricostruzione di tutta la nostra banca dati. Ci scusiamo per il disagio significativo che il nostro tempo di inattività ha causato e ci aspettiamo di avere il sito web developer di nuovo funzionante molto presto”.
