Hace menos de 24 horas saltaba la noticia, un grupo de anonymous, que publica sus operaciones por medio de la cuenta de twitter anonymousIRC, anunciaba que dentro de la operación AntiSec habían hackeado una parte de la web de Apple y ponían al descubierto una lista de 27 usuarios y contraseñas hasheadas de una base de datos.
 |
| Figura 1: Anuncio en Twitter del hackeo de la web de Apple |
La web hackeada en esta ocasión es http://abs.apple.com:8080/ssurvey/survey?id=, que ahora mismo se encuentra caída, y la lista de usuarios y contraseñas se han publicado en Pastebin. En estos momentos todavía se pueden descargar las mismas.
 |
| Figura 2: Usuarios y Passwords en Pastebin |
La web de Apple, como la de toda gran empresa, es de un tamaño enorme, y es difícil que no haya ningún fallo en ellas, pero hemos de decir que pensamos que Apple no está invirtiendo los esfuerzos necesarios en protegerla, y esto es consecuencia directa de ello.
Cronología de fallos en la web
Cronología de fallos en la web
En Agosto del año 2010 vimos como la web de http://itunes.apple.com era hackeada dentro de un ataque automático de SQL Injection y le introducían scripts para descargar malware desde servidores rusos.
 |
| Figura 3: itunes.apple.com hackeada para servir malware |
Pocos días después el foro http://discussions.apple.com era hackeado durante el mismo mes de Agosto de 2010.
 |
| Figura 4: discussions.apple.com hackeados |
Ya en 2011 vimos como http://itunes.apple.com otra vez era hackeada dentro de la operación Lizamoon para distribuir un rogue AV.
|
| Figura 5: itunes.apple.com hackeada en la operación Lizamoon |
Esa misma web, a día de hoy, está colonizada por los spammers, con lo que se pueden ver anuncios de fármacos sexuales en la misma
 |
| Figura 6: itunes.apple.com anunciando fármacos |
Además de estas vulnerabilidades, desde Informática 64 encontramos bastantes fallos de seguridad en la web de Apple que decidimos reportarles. Algunas era simples fallos de revelación de información, otros eran bugs de XSS, lo que nos agradeció el equipo de seguridad de la compañía en la web. Ya que están subsanados los publicaremos.
 |
| Figura 7: Bugs reportados a Apple.com por Informática64 y solucionados |
Justo antes de este ataque de anonymous, otro investigador anunciaba públicamente que había tres peligrosas vulnerabilidades de URL Redirect, XSS y HTTP-Response Spliting en la web de developers.apple.com, que la compañía subsanó.
 |
| Figura 8: HTTP Response Splitting vía Arbitrary URL Redirect |
Sabemos que es difícil auditar y controlar todo el código que se pone en la web de un dominio tan grande, pero es que es la web de Apple.com, y debe reflejar la calidad de sus productos.
No hay comentarios:
Publicar un comentario