Έδωσες το mail και την ημερομηνία γέννησης σου, έδωσες το… Apple password σου!

Μια νέα τρύπα ασφαλείας που εντοπίστηκε στο πώς έχει στήσει τα συστήματα της η Apple επέτρεπε σε όποιον γνώριζε το email και την ημερομηνία γέννησης ενός χρήστη να μηδενίσει το password του.

Το πρόβλημα εμφανιζόταν αν ο κακόβουλος χρήστης γνώριζε πώς να δημιουργήσει μια τροποποιημένη-με-συγκεκριμένο-τρόπο URL, την οποία και μπορούσε να χρησιμοποιήσει καθώς απαντούσε στις ερωτήσεις της υπηρεσίας ανάκτησης κωδικών iForgot της Apple.

Υπάρχουν αναλυτικότατες οδηγίες online για το πώς ολοκληρώνεται η διαδικασία, και είναι αρκετά απλή ώστε να μπορεί να την κάνει οποιοσδήποτε – δεν θα την αναφέρουμε εδώ, αλλά… σίγουρα με μια μικρή αναζητησούλα, όλο και κάτι θα βρείτε.

Στο ενδιάμεσο, και έχοντας ήδη ανανεώσει τις μεθόδους ασφαλείας της υιοθετώντας και αυτή τη λογική του two-step verification (όπου οι υπηρεσίες της χρησιμοποιούν π.χ. και το κινητό του χρήστη για την επικύρωση της ταυτότητας του), η Apple κατέβασε για λίγο τη σελίδα iForgot, που τώρα παρουσιάζεται φαινομενικά πανομοιότυπη, αλλά… με μπαλωμένη την τρύπα.

Ήταν άλλο ένα τραγικά γελοίο fail, που ξέφυγε από μια μεγάλη εταιρεία και, ευτυχώς, διορθώθηκε σε πολύ μικρό χρονικό διάστημα. Τίποτα δεν αποκλείει, όμως, στο ενδιάμεσο, κάποιοι… καλοθελητάδες να πρόλαβαν να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα πολλών χρηστών. Για την ώρα δεν έχει ακουστεί τίποτα, αλλά… ποτέ δεν ξέρεις. Αν είστε φανατικός χρήστης προϊόντων της Apple, και ξαφνικά δείτε χρέωση σε μια κάρτα σας για παραγγελία τριών τόνων ανανάδων από τις νήσους Πόγκο-Πόγκο… Αρχίστε να ανησυχείτε..!

...γνωστός και ως Οδυσσέας Κουράφαλος, αρχικός υπεύθυνος για το unregistered. Συντάκτης, γραφίστας, "μαλτιμηντιάς", φανατικός της science fiction και των αστείων γατιών στου ιντερνέτ. "Δηλώνω graphics whore" (παίζω Ms. Pac-Man στο MAME με 2xSAL και το πρώτο Max Payne με FXAA antialiasing). Load "unreg*",8,1.