Ieri sera un ricercatore si era dichiarato il misterioso hacker dietro all’attacco dei server di Apple. Ibrahim Balic aveva sostenuto di essere l’autore della breccia nel Developer Center di Cupertino, lamentando di avere avvisato Apple del suo procedimento prima che questa avviasse delle indagini per trovare il colpevole dell’intrusione (e il bottino digitale). Ora una intervista con TechCrunch mette in luce il comportamento quantomeno sospetto dell’esperto di sicurezza informatica.
Balic, che ha trovato 13 diversi bug nel software di Apple, ha inizialmente scoperto una vulnerabilità di iAd Workbench (lo scorso 18 luglio) che avrebbe permesso di inviare una richiesta manomessa ai server di Apple. Questa operazione avrebbe permesso di accedere ai dati personali di alcuni utenti iTunes (anche non sviluppatori). Dopo avere trovato la falla, Balic avrebbe scritto un piccolo programma in Pyton in grado di eseguire automaticamente la raccolta dei dati.
A questo si aggiunge un altro bug, spiega Balic, che avrebbe permesso di attaccare il Dev Center tramite XSS. Balic ammette che avrebbe potuto accedere ai dati di diversi utenti, ma assicura di non averlo fatto. TechCrunch sottolinea però che il video pubblicato originariamente da Balic su YouTube (e successivamente rimosso) mostrava indirizzi di posta elettronica in bella vista.
Balic assicura che gli indirizzi di posta elettronica visibili nel video sono stati ottenuti tramite la falla di iAd, e non quella del Dev Center. Il video pubblicato su YouTube, però, sembrava dire il contrario.
Nella confusione, Balic sostiene di avere ottenuto i dati di 73 impiegati Apple e altri 100 000 utenti iTunes, ma di non avere usato il bug del Dev Center indicato ad Apple il 16 luglio, ma piuttosto la falla di iAd. Ad aggiungere ulteriore confusione è il fatto che Apple sostiene che siano stati violati solo account di sviluppatori, mentre la tecnica di Balic avrebbe permesso l’accesso ai dati di normali utenti iscritti con un Apple ID ai servizi di Cupertino.
Balic, ad ogni modo, continua a sostenere di non avere effettuato l’attacco ai server di Apple in maniera malevola. Tutto quello che intendeva fare, spiega a TechCrunch, era veder quanti dati avrebbe potuto ottenere sfruttando i due bug.
La questione è ancora lontana dall’essere chiarita, e mentre le indagini di Apple proseguono, il Dev Center è tornato online questa mattina.
[via]
Non è vero che il sito dei developer sia tornato online
@roberto: Stamattina, come peraltro confermato da un nostro lettore in un altro articolo ( http://www.theapplelounge.com/sicurezza/attacco-hacker-un-sospetto-ricercatore-ammette-la-sua-colpevolezza/ ) il sito era lento ma online. Magari non ancora in via definitiva?
XSS? Da Apple non me lo sarei mai aspettato.
Un giorno, tornando a casa, troverò un “ricercatore” che mi illustrerà le vulnerabilità del mio portone di ingresso, e che avrebbe potuto prendere dai cassetti le mie cose, ma giurerà di non averlo fatto… In informatica si chiamano “ricercatori”, mio padre mi ha insegnato a chiamarli LADRI e a prenderli a calci nel c*lo… Fanno perdere solo tempo e soldi…
@Mamodesign: Da una parte hai ragione, ma dall’altra se nessuno lo facesse poi arriva davvero quello che non ti dice niente e intanto porta via tutto quello che hai in casa, così scopri da solo che la tua portava aveva qualche difetto.
@Thinkmacintosh:
Questa gente non vuole migliorare il mondo, vuole trarre profitto da quello che fa. Non so cosa abbia scoperto, sta di fatto che le intenzioni di questi soggetti non sono mai rivolte a dare un aiuto bensì allo sput*anamento, oppure a fot*ere informazioni al proprietario del sito… Ripeto, un conto è dimostrare che si può entrare e renderlo noto solo al diretto interessato, diverso è il comportamento del 99,9% di questi nerd…