Еще с прошлого четверга зарегистрированные iOS- и Mac-разработчики не могут попасть в Developer Center. Всё это время высказывались самые разные предположения, но лишь вчера вечером Apple сообщила подробности: девелоперский сайт был взломан неизвестным хакером, и ресурс был отключен от сети до тех пор, пока компания не разберется с ситуацией.

По словам Apple, вся личная информация хранится у них в зашифрованном виде, поэтому злоумышленник не сумел получить к ней доступ. Тем не менее, инженеры компании не исключают возможность того, что некоторые данные в сеть все-таки «утекли». Apple пообещала полностью изменить текущую систему и обезопасить себя в дальнейшем от подобных проблем:

В прошлый четверг неизвестный злоумышленник попытался завладеть личной информацией о зарегистрированных разработчиках на нашем портале Apple Developer. Личная информация была зашифрована и оказалась недоступна, однако, мы не исключаем возможность того, что он мог получить доступ к именам, почтовым и/или электронным адресам некоторых разработчиков. Следуя духу прозрачности, мы хотим сообщить вам о проблеме. Еще в четверг мы немедленно отключили сайт и с тех пор работаем над решением проблемы круглосуточно.

Желая обезопасить себя от подобных угроз в будущем, мы полностью меняем нашу девелоперскую систему, обновляем серверное программное обеспечение и восстанавливаем всю базу данных. Приносим свои извинения за неудобства, которые у вас вызвал простой. Мы предполагаем, что портал для разработчиков возобновит свою работу в ближайшее время.

Если ваша подписка в программе для разработчиков должна была закончиться в течение этого периода, она будет расширена, а ваше приложение останется в App Store. Если у вас есть какие-либо опасения относительно вашего аккаунта, пожалуйста, свяжитесь с нами.

В комментариях пресс-служба Apple старается подчеркнуть 2 важных момента. Во-первых, этот взлом никак не связан с аккаунтами обычных пользователей, зарегистрированных в iTunes/App Store и не являющихся разработчиками. Это совершенно разные системы, и вся информация клиентов данных магазинов осталась в целости и сохранности. Во-вторых, хакер не получил доступ к коду приложений и даже к серверам, на которых хранится информация о мобильных программах.

Помимо этого, нетронутой остались данные о кредитных картах разработчиков. Всё, к чему злоумышленник мог получить доступ (согласно официальной версии Apple ), — это имена, электронные и почтовые адреса некоторых разработчиков.

Но на этом история, как вы понимаете, не закончилась и даже получила неожиданный поворот: житель Великобритании по имени Ибрагим Балик (Ibrahim Balic) в комментариях на TechCrunch заявил, что именно он и был тем самым хакером, пытавшимся взломать портал для разработчиков. Однако, его целью была не кража данных, а исследование системы безопасности, в которой он нашел недочеты. Свои находки он оформил в виде багрепортов и отправил в Apple:

Привет всем.

Меня зовут Ибрагим Балик, я занимаюсь исследованием безопасности и даю частные консультации для определенных фирм. Недавно я начал проводить исследования над Apple.

В целом я нашел 13 ошибок и сообщили о них через сайт http://bugreport.apple.com. Ошибки были очень подробно описаны, одна за одной, и снабжены скриншотами, Apple знала о них.

Один из багов позволил мне получить доступ к пользовательским данным, после чего я сразу же сообщил об этом в Apple. В качестве доказательства я приложил информацию о 73 пользователях (среди них были только сотрудники Apple).

Спустя 4 часа после отправки моих отчетов об ошибках портал Apple Developer был отключен и не работает до сих пор. Я отправил в компанию электронное письмо, спросил, не доставляю ли им какие-либо трудности, предложил прекратить исследование, но до сих пор не получил ответа. Я ждал, пока они свяжутся со мной, а сегодня прочитал, что они подверглись нападению и взлому. В некоторых новостях было написано о привлечении властей к расследованию взлома. И теперь я чувствую себя слегка раздраженным, поскольку я не ставил целью навредить или нанести компании ущерб, не собирался продавать или скрыть найденные уязвимости. Мне хотелось понять, насколько глубоко я могу добраться, используя эту уязвимость. У меня есть более 100 000 данных о пользователях, и Apple об этом знает. Но я не пытался сначала получить данные, а потом сообщить о проблеме, я сначала сообщил в Apple.

У меня остались все доказательства, электронные письма, скриншоты, а также описания всех ошибок, которые я отправлял через систему Apple для приема багрепортов.

К сожалению, пресс-служба компании из Купертино еще никак не прокомментировала данное заявление. Но у меня есть ощущение, что Ибрагим не до конца откровенен. Ведь если он не хотел никому навредить, зачем тогда загружать информацию о 100 000 пользователей?


Читайте также: