Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Włamanie na portal dla developerów Apple, „hackerem” jest Ibrahim Baliç

· Wojtek Pietrusiewicz · 10 komentarzy

Portal Apple przeznaczony dla developerów nie działa od czwartku. Po mniej więcej dwóch dobach, na Twitterze zaczęły się pojawiać głosy niepokoju, spotęgowane faktem, że w niedzielę również wyłączono amerykański Apple Store na kilka godzin. Nie komentowałem tematu, bo pojawiały się najprzeróżniejsze spekulacje, w tym że za całość odpowiedzialny jest hacker lub hackerzy. Niestety, okazało się to prawdą, ale wygląda na to, że spowodowane było to utratą cierpliwości przez niejakiego Ibrahima Baliça.

Apple dopiero wczoraj w nocy naszego czasu opublikowało w tym temacie informacje i rozesłało maile do swoich developerów:

Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website. Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers’ names, mailing addresses, and/or email addresses may have been accessed. In the spirit of transparency, we want to inform you of the issue. We took the site down immediately on Thursday and have been working around the clock since then.

In order to prevent a security threat like this from happening again, we’re completely overhauling our developer systems, updating our server software, and rebuilding our entire database. We apologize for the significant inconvenience that our downtime has caused you and we expect to have the developer website up again soon.

If your program membership was set to expire during this period, it has been extended and your app will remain on the App Store. If you have any other concerns about your account, please contact us.

Thank you for your patience.

Po pierwsze i najważniejsze: nie dotyczy to w żadnych stopniu kont iTunes, więc nie musicie się o nic martwić. Temat ten z Apple został poruszony przez Jima Dalrymple, a w odpowiedzi usłyszał, że konta iTunes i portal develoeperów są od siebie rozdzielone. Ponadto, hacker nie dostał się do kodu aplikacji (które są na osobnym serwerze) ani do żadnych danych płatniczych. Jedyne do czego mógł się dostać to dane osobowe developerów — imię i naziwko, adres mailowy i adres zamieszkania. Na obecną chwilę nie wiadomo jeszcze czy te dane w ogóle widział. Apple również Jimowi przekazał, że pracują nad tym, aby przywrócić działanie strony, ale nie wiedzą kiedy to nastąpi.

Tymczasem, wspomniany Ibrahim Baliç, który zajmuje się badaniem bezpieczeństwa, opublikował tweeta z linkiem do filmu w temacie:

Twierdzi on, że zgłaszał Apple’owi 13 bugów w ich systemie, podkreślając dziurę dzięki której wykradł dane, demonstrując ją na przykładzie 73 ich własnych pracowników. Jako, że Apple nie reagował na zgłaszane przez niego błędy, „włamał się” i wykradł dane ponad 100 tysięcy użytkowników, ponownie zgałszając to firmie. Apple zareagowało na włamanie po czterech godzinach, wyłączając cały system i ogłaszając, że za wszystkim stoi hacker. Ibrahim teraz martwi się, że jego konto developerskie zostanie zablokowane i opublikował następujący komentarz w artykule na TechCrunch:

Hi there,

My name is ibrahim Balic, I am a security researcher. You can also search my name from Facebook’s Whitehat List. I do private consulting for particular firms. Recently I have started doing research on Apple inc.

In total I have found 13 bugs and have reported through http://bugreport.apple.com. The bugs are all reported one by one and Apple was informed. I gave details to Apple as much as I can and I’ve also added screenshots.

One of those bugs have provided me access to users details etc. I immediately reported this to Apple. I have taken 73 users details (all apple inc workers only) and prove them as an example.

4 hours later from my final report Apple developer portal gas closed down and you know it still is. I have emailed and asked if I am putting them in any difficulty so that I can give a break to my research. I have not gotten any respond to this… I have been waiting since then for them to contact me, and today I’m reading news saying that they have been attacked and hacked. In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn’t attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn’t attempt to get the datas first and report then, instead I have reported first.

I do not want my name to be in blacklist, please search on this situation. I’m keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report.

To nie pierwszy przypadek, w który Apple ignoruje lub nie traktuje zgłaszanych bugów na poważnie i/lub z należytą uwagą. Całkowicie rozumiem zachowanie Ibrahima Baliça i jego irytację z tym związaną. Mam tylko nadzieję, że nie dadzą mu bana za to co zrobił. Z mojego punktu widzenia, osoby odpowiedzialne za brak reakcji w Apple powinny natychmiast wylecieć ze swoich stanowisk. Na ich miejsce powinni zatrudnić Ibrahima (lub przynajmniej złożyć mu ofertę pracy) — to byłoby znacznie lepszym rozwiązaniem. Niestety obawiam się, że jego konto zostanie zablokowane. Jakiś czas temu był bardzo podobny przypadek i Apple niestety do tego typu tematów podchodzi zupełnie niewłaściwie.

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • duchu

    A pokażesz mi korporację która właściwie to robi :) ?

  • comb

    http://niebezpiecznik.pl/post/dane-100-000-programistow-ios-wyciekly-z-apple-developer-center/ Ibrahim jednak nie powinien publikować danych, do których uzyskał dostęp…

  • W Polsce niezamówione testy penetracyjne są karalne.

    „Kradzież informacji” uregulowane jest w art. 267 § 1 kk, zgodnie z którym kto bez

    uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo,

    podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne,

    magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze

    ograniczenia wolności albo pozbawienia wolności do lat 2.”

  • Nie sądzę, aby to miało zastosowanie w tym przypadku. Przepis w niektórych sytuacjach bez sensu tak swoją drogą.

  • Jakby nie patrzeć to wykradł dane deweloperów i część z nich opublikował na filmie w Youtube, czyli de facto użył tych danych. Według mnie spokojnie by pod ten paragraf podpadł.

  • Ale sprawa nie podpada pod nasze prawo. :)

  • Masz rację. Jednak jego tłumaczenie, że nie jest hackerem tylko niezależnym badaczem zabezpieczeń jest dla mnie bardzo słabe.

    Przeczytałem jego oświadczenie – boi się teraz, że wpadnie na listę „black hats”. Moim zdaniem powinien się tam dawno znaleźć.

  • krzysiek

    i co nie bedzie dzis bety 4 ;(?

  • Marcin Dmochowski

    Z jednej strony „niezależny badacz zabezpieczeń” brzmi podejrzanie, ale z drugiej – gdyby nie chciał zostać złapany, to nie wysyłałby zgłoszeń do Apple pod którymi się podpisuje…

  • Logika i instynkt samozachowawczy by radził, żeby będąc „niezależnym badaczem zabezpieczeń” badać zabezpieczenia firm, które tego chcą. Niektóre wyznaczają nagrody za znalezione błędy np. Facebook czy Google. Badanie zabezpieczeń firmy, która sobie tego nie życzy może być bardzo bolesne dla „badacza”.