Menú principal

martes, 23 de julio de 2013

Investidador de seguridad hackea Apple Developer Center

Desde el jueves de la semana pasada, la web de desarrolladores de Apple está caída. Esto ha supuesto un bloqueo para las acciones de muchos programadores de aplicaciones que utilizan diariamente en su trabajo este sitio, pero aún no se sabe cuando va a volver. Al principio el mensaje que se ofrecía no daba muchos detalles, pero desde que se conoce qué ha pasado, la carta de Apple en la web lo deja claro. Hemos sido hackeados.

Figura 1: Mensaje de Apple Developer Center

El hackeo ha venido de la mano de Ibrahin Baliç, un investigador de seguridad, que llegó a publicar un vídeo con la explotación de las vulnerabilidades que había descubierto, además de explicar todo en una entrevista en TechCrunch. El vídeo, ahora no está público ya que ha sido retirado porque en él se podían ver los datos de cuentas de Apple ID y los correos electrónicos asociados.

Figura 2: El vídeo - ahora en privado - donde se publicaban las vulnerabilidades

Esta información obtenida podría ser muy sensible. Recordemos que hace no mucho tiempo vimos como Apple sufría el hackeo de su servicio de recuperación de contraseñas de Apple ID olvidadas iForgot por culpa de un CSRF que, con muy poca información, permitía robar las contraseñas de los Apple ID. El mismo investigador retiró el vídeo, como ya hemos dicho, y publicó en su cuenta Twitter unas disculpas por haber dejado datos de personas en él.

Figura 3: Disculpas por Twitter de Ibrahim Baliç

El número total de vulnerabilidades que este investigador encontró fue de 13, y entre ellas la que más impacto tuvo fue la que encontró en el servicio de iAD Workbench que le permitía extraer los datos anteriormente citados, y que terminó con la caída del Apple Developer Center. Estas vulnerabilidades están descritas en la siguiente tabla que él mismo hizo públicas.

Figura 4: Reporte de vulnerabilidades encontradas (varios XSS)

Ahora mismo la cosa está bastante liada. El Apple Developer Center no ha vuelto a funcionar, causando un serio perjuicio a los que se ocupan del desarrollado de apps para iOS y a la compañía. El daño de imagen ha sido grande, y las criticas hacia el investigador de seguridad han venido por querer un exceso de protagonismo al mostrar datos de clientes en la explotación de las vulnerabilidades en un vídeo en el que aparece él mismo posando.

Figura 5: Web de reconocimiento de investigadores que han reportado bugs en webs de Apple

Apple tiene una web de reconocimiento de vulnerabilidades donde se da crédito a los investigadores que reportan bugs a la compañía, agradeciendo el trabajo normalmente. En esta ocasión, sin embargo, parece que el método escogido por este investigador no ha sido del gusto de la compañía.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares