Attacco a sito Apple Developer: ancora offline, dubbi su hacker Balic


Un'indagine del Guardian ha messo in dubbio i crediti di un ricercatore turco con sede nel Regno Unito secondo cui avrebbe hackerato il portale degli sviluppatori di Apple, che è rimasto offline per più di una settimana. Ibrahim Balic, che si descrive come un consulente di sicurezza, ha affermato domenica scorsa di aver scoperto un certo numero di punti deboli nel sito in developer.apple.com che gli hanno permesso di afferrare indirizzi email degli sviluppatori registrati.

Apple ha messo offline il suo portale degli sviluppatori Giovedi 18 luglio. Domenica scorsa ha inviato via email agli sviluppatori avvertendo che il sito era stato violato e che alcuni dei loro dettagli potrebbero essere stati rubati. Esso non ha dato altri dettagli di come l'hack è stato effettuato. In tutto, Balic ha detto che era stato in grado di afferrare i dettagli di 100.000 persone registrate sul sito, e che ha incluso 73 di loro in un rapporto di bug ad Apple. 

Egli ha affermato di aver sfruttato un bug cross-site scripting (XSS) nel sito, e ha rilevato 13 numeri in un bug report ad Apple tra il 16 e il 20 luglio. Tuttavia gli attacchi XSS in genere richiedono che l'attaccante - in questo caso sarebbe Balic - di "infettare" una pagina, in questo caso Apple, con un pezzo dannoso di Javascript o HTML che sarebbe poi utilizzato per estrarre dati da un utente che lo visita.

Se l'affermazione di Balic è corretta, sembra aver utilizzato l'exploit XSS contro il sistema. Balic si è offerto di fornire il proof del suo hack condividendo alcuni dettagli del file con il Guardian, e ha fornito le e-mail di 19 persone, il Guardian ha anche estratto altre 10 mail da un video che Balic ha messo su YouTube in cui ha evidentemente mostrato come egli ha hackerato il sito (da allora ha fatto il video privato http://goo.gl/zdXa6e).


Secondo un commento pubblicato su TechCrunch, il ricercatore Balic dice di non aver ricevuto alcuna risposta da parte di Apple, ma che il Centro degli sviluppatori è stato chiuso quattro ore dopo il suo ultimo bug report. La maggior parte delle informazioni sui server Dev Center sono stati criptati. Se si visita la pagina di Apple devimages.apple.com/maintenance si continua a vedere un messaggio "Torneremo presto". 

"Ci scusiamo per il disagio significativo causato dall'inattività del nostro sito web developer. Abbiamo lavorato tutto il giorno per rivedere i nostri sistemi di sviluppo, aggiornare il nostro software del server, e ricostruire tutta la nostra banca dati. Mentre completiamo il lavoro per portare i nostri sistemi di nuovo online, vogliamo condividere con voi l'ultima.

"Abbiamo in programma di lanciare i nostri sistemi aggiornati, a partire dai Certificati, identificatori e profili, Apple Developer Forum, Bug Reporter, le librerie di sviluppo pre-release e video first. Successivamente, ripristineremo il download di software, in modo che le ultime versioni beta di iOS 7, Xcode 5 e OS X Mavericks saranno ancora una volta disponibili per i membri del programma". 

"Provvederemo quindi portare i restanti sistemi online. Per tenervi aggiornati sui nostri progressi, abbiamo creato una pagina di stato per visualizzare la disponibilità dei nostri sistemi. Se la vostra adesione al programma è impostata per scadere nel corso di questo periodo, sarà estesa e la vostra applicazione rimarrà su App Store. Se avete altre preoccupazioni circa il vostro account, si prega di contattarci. Grazie per la vostra continua pazienza".

Nessun commento:

Posta un commento