Apple, sito degli sviluppatori violato, ricercatore si fa avanti

Apple subisce un brutto cybercrimine. Il suo centro assistenza/community degli sviluppatori è stato violato da un hacker

Aggiornamento ore 10. Su The Next Web è comparso un articolo che afferma di aver trovato una specie di "responsabile", un ricercatore nel campo della sicurezza informatica che sostiene di aver notificato ad Apple un rapporto sulla vulnerabilità del Dev Center. Il suo nome è Ibrahim Balic e vive in UK: la sua analisi ha evidenziato 13 bug che potevano essere sfruttati per ottenere i dati personali degli sviluppatori.

Balic ha avuto accesso a oltre 100.000 account e ha notificato tutto ad Apple, ed ora si dice piuttosto irritato che il suo lavoro abbia causato lo shutdown del sito e la dichiarazione da parte della corporation di essere stata vittima di un hacker. Balic infatti è un white hat e si è premurato di trasferire ad Apple tutti i dati dell'operazione, senza avere alcuna intenzione di sfruttare le vulnerabilità per fini malevoli.

Apple è stata costretta dagli eventi a notificare un fatto gravissimo: il suo sito dedicato alla community degli sviluppatori è stato violato giovedì scorso. Il sito era offline da qualche giorno, la ragione è un completo ripensamento dei meccanismo di difesa.

In pericolo i dati personali degli sviluppatori



Apple

ha diffuso il comunicato che vedete in cima all’articolo circa otto ore fa. La corporation è stata criticata per il ritardo - una volta che gli sviluppatori si sono resi conto di quello che stava succedendo c’è stata trasparenza, ma Apple è rimasta sotto silenzio fino all’ultimo, anche quando l’allarme aveva iniziato a diffondersi su Twitter e il Dev Center è rimasto offline per più di due giorni.

Da giovedì ad oggi, infatti, ci sono stati dozzine di tweet di sviluppatori con un account sul sito che si sono visti recapitare una notifica di reset della password non richiesta. Questo è di solito un brutto segno, perché tutti sono in grado di riconoscere il tocco di qualche hacker che sta tentando di accedere ad un account da questo tipo di messaggi.

La ragione offerta da Apple per il ritardo nelle sue dichiarazioni è tuttavia piuttosto comprensibile: era necessario comprendere quali dati sono stati persi.

Che genere di dati sono stati messi in pericolo?



Apple sostiene che i veri dati personali sensibili non sono in pericolo, dato che sono crittografati. Da questa affermazione possiamo dedurre che si stiano riferendo ai dati bancari condivisi per i pagamenti, perché Cupertino conferma che nomi e email sono invece stati messi a rischio - come è stato già possibile vedere.

Non sono stati messi in pericolo i dati di iTunes e in nessun caso quelli degli utenti regolari: le vittime dell’hack sono unicamente sviluppatori. Meglio di quello che succede al Battle.net di Blizzard, vediamola così.

Per il momento il Dev Center è offline e resterà così finchè Apple non avrà completamente riscritto le proprie procedura di difesa. Nel frattempo i servizi a pagamento in scadenza saranno automaticamente rinnovati senza costi aggiuntivi fino al risolversi della crisi.

Via | 9to5 Mac

  • shares
  • Mail