Уязвимость позволяла получить информацию о разработчиках и сотрудниках Apple

Коллеги из 9to5Mac сильно удивились, когда им на почту пришло письмо от незнакомца, содержащее личную информацию, включая номера телефонов, нескольких сотрудников их редакции, и даже некоторых сотрудников Apple. Разработчик Джесси Ярви смог получить доступ к этим данным, воспользовавшись дырой в центре разработчиков Apple.

Помимо конфиденциальной информации Джесси прислал видео, в котором подробно показал, как именно ему достались эти данные. Он использовал дыру в приложении Radar, предназначенном для внутреннего использования сотрудниками Apple. Radar позволяет отслеживать отчёты об ошибках, а также даёт доступ к полной базе зарегистрированных разработчиков.

Программа Radar требует ввода Apple ID, которые тоже поддаются краже, согласно последней информации. Он должен числиться в списке сотрудников. Ввод неверного ID должен запретить вам доступ ко всем возможностям приложения. Однако Джесси Ярви заметил, что даже после ввода Apple ID, который не числится в списке сотрудников, возможен доступ к некоторым функциям приложения, в том числе и поиску по списку сотрудников и разработчиков.

Джесси поступил как нельзя лучше, сообщив об уязвимости в 9to5Mac, а те в свою очередь довели информацию до Apple, не придавая её публичной огласке вплоть до того момента, пока Apple не починит дыру. Как вы уже можете догадаться, сейчас уязвимостью воспользоваться невозможно. Вчера Apple закрыла центр разработчиков, и после открытия одной дырой в нём стало меньше.

По материалам 9to5Mac