La notizia arriva da Apple, che è di nuovo nel mirino di hacker, questa volta tocca al suo sito per gli sviluppatori, l’app store.
Tim Cook, ha garantito che nessun dato degli utenti è stato catturato, tutte le email e le password all’interno del sito sono criptate, e le poche che sono trapelate, sono degli sviluppatori interni ad Apple, che ugualmente sono criptate, oltre che ad essere pubbliche in quanto presenti ovviamente tra i contatti Apple.
La Apple ha rivelato che lavorerà 24h per riportare alla normalità il servizio quanto prima, scusandosi ovviamente per il disturbo, ripetendo che nessun dato di sviluppatori esterni ad Apple è stato rivelato, ossia gli sviluppatori dello store, sono al sicuro.
Un ragazzo turco, Ibrahim Baliç si è dichiarato artefice dell’attacco, e precisa di essere un ricercatore di sicurezza, ossia una persona il cui lavoro è trovare vulnerabilità, che ne ha trovate nel sistema di applicazioni Apple, ma alle sue email verso il servizio clienti, non ha ricevuto alcuna risposta, ne tantomeno sono state sistemate, quindi ha deciso di mandare il sito “down”, ma senza però riuscire a rubare nulla, e la spiegazione Apple non fa una grinza: i dati vengono organizzati su più livelli per garantire sicurezza, e ovviamente crittografati, oltretutto non contengono dati sensibili, ma solo ID, nome e email.
L’autore dell’attacco, afferma di far parte del “bug bounty program”. Si tratta di un servizio che i colossi del web mettono a disposizione degli esperti di sicurezza, offrendo soldi a chi trova vulnerabilità e in cambio chiedono che quest’ultima non sia diffusa e non venga sfruttata per azioni criminose. Il giovane turco invece viene criticato per il modo di diffusione della sua azione: ha caricato un video su Youtube dove mostra la sua intrusione, ma senza mai oscurare i dati personali che, anzi, mostra come segno di vittoria.
Sembra che Ibrahim abbia sfruttato il classico Sql injection, ovvero tecnica comune utilizzata per le applicazioni web. Baliç precisa comunque di non aver voluto far ‘nulla’ se non quello di dimostrare la vulnerabilità e le sue capacità, ma la paura di Apple non è tanto per il gesto del ricercatore in sè, quanto che alcun altro che abbia potuto sfruttare la stessa vulnerabilità per altri scopi e nello scenario peggiore, ma non da escludere, di essere arrivato ad altri dati sensibili con una “privilege escalation”.
Le critiche ovviamente non si sono fatte attendere The Guardian ha criticato pesantemente Apple, da anni oramai sotto la lente d’ingrandimento degli esperti di sicurezza, per via delle presunte vulnerabilità.
Il giovane ricercatore che ha ‘bucatò i sistemi Apple, o l’azienda stessa che ha ignorato le sue email mettendo così a rischio i propri utenti. Intanto Apple fa scaricare una nuova versione del software totalmente diversa per gli sviluppatori, ma una spiegazione più trasparente di quello che è realmente accaduto ancora non c’è.