Menú principal

lunes, 25 de marzo de 2013

Serio bug en iForgot obliga a Apple a cerrar el servicio

Todo sucedió muy rápido el viernes, casi coincidiendo con el anuncio de que Apple había lanzado el servicio de verificación en dos pasos de las cuentas Apple ID, y todo fue un poco caótico. Os narramos los acontecimientos.

A través de una comunicación se hizo público que existía un exploit que permitía cambiar la contraseña de cualquier usuario a través del servicio de recuperación de contraseñas de Apple, llamado iForgot. Para que el exploit tuviera éxito sólo era necesario conocer la cuenta de correo electrónico y la fecha de nacimiento de la persona poseedora de la cuenta. Con ello se conseguía cambiar la contraseña ya que no se pedía una validación extra enviando un correo electrónico a la cuenta de la víctima para confirmar el cambio.

Figura 1: Servicio iForgot de Apple

Muchos usuarios corrimos a activar el servicio de verificación en dos pasos, para darnos cuenta de que sólo era posible hacerlo en algunos países, y, que además en ellos, el número de peticiones había sido tan alto que debían esperar 3 días hasta que se pudieran aprovisionar los recursos necesarios para ofrecerles ese servicio.

Figura 2: Apple avisa de una espera de 3 días hasta configurar Verificación en 2 pasos

Como solución temporal, muchos usuarios decidimos modificar la fecha de nacimiento a una fake para evitar que ésta pudiera ser averiguada por técnicas de hacking con buscadores o procedimientos OSINT, algo que no se puede garantizar de la fecha correcta, que puede estar en bases de datos oficiales.

Figura 3: Servicio iForgot parado

No hubo que esperar mucho, ya que rápidamente Apple reaccionó, y tiró abajo el servicio iForgot durante varias horas hasta que consiguió solucionar el problema y volverlo a levantar, para tranquilidad de los usuarios de las cuentas Apple ID, donde no olvidemos, muchos tenemos asociados datos bancarios que podrían ser utilizado por cibercriminales especializados en Fraude Online que campan por la iTunes y la App Store.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares