Взлом Центра разработчиков Apple был возможен из-за уязвимости в iAd Workbench

Новости

Как стало известно, злоумышленник, взломавший DEV-центр Apple для разработчиков попытался получить доступ к персональной информации. Компания моментально перевела работу центра разработчиков в офлайн, однако на момент написания этой статьи сервис уже функционирует — экспертами по безопасности были ликвидированы уязвимости.

iAd-WorkbenchНо как именно все это произошло? Согласно информации исследователя по безопасности из Турции — Ибрагима Балика (Ibrahim Balic), взявшего на себя ответственность за произошедшее, ему удалось проникнуть на серверы Apple благодаря наличию одной ошибки, которую он обнаружил в недавно вышедшем программном обеспечении iAd Workbench.

Журналисту интернет-издания TechCrunch Крису Велазко (Chris Velazco) удалось поговорить с Баликом, который сказал, что после обнаружения ошибок в Facebook и других сайтах, он переключил свое внимание на Apple. И он добился неплохих результатов, обнаружив и отправив информацию производителю iPhone о 13 новых ошибках.

Программное обеспечение iAd-WorkbenchОднако существовала одна уязвимость, которая и привлекла львиную долю внимания — и это ошибка #14488816. Балик рассказал о находке в своем видео, а также сообщил, что об этой дыре в безопасности сайта разработчиков компании он уведомил Apple еще 18 июля — буквально через несколько часов работа центра разработчиков была приостановлена.

«Эта маленькая прореха в безопасности сосредоточена вокруг программного обеспечения iAd Workbench от Apple, которое позволяет пользователям организовывать рекламные кампании iAd. Для взлома сайта Центра разработчиков Apple Балик написал скрипт на языке Python».

Также 16 июля Балик предоставил компании Apple отчет об ошибке (#14461474), которая касается уязвимости Центра разработчиков к XSS атакам. Он сообщил, что при помощи использования этой ошибки также технически возможно получить доступ к информации пользователей, однако он никогда не пытался этого делать.

Ибрагим остается твердо уверен в том, что его намерения были положительными, при этом стоит также отметить, что Apple подтвердила, что никакая информации по кредитным картам или любая другая важная информация не была затронута или скомпрометирована.

Смотрите также: