Уязвимость позволяла получить информацию о разработчиках и сотрудниках Apple

Коллеги из 9to5Mac сильно удивились, когда им на почту пришло письмо от незнакомца, содержащее личную информацию, включая номера телефонов, нескольких сотрудников их редакции, и даже некоторых сотрудников Apple. Разработчик Джесси Ярви смог получить доступ к этим данным, воспользовавшись дырой в центре разработчиков Apple.

Помимо конфиденциальной информации Джесси прислал видео, в котором подробно показал, как именно ему достались эти данные. Он использовал дыру в приложении Radar, предназначенном для внутреннего использования сотрудниками Apple. Radar позволяет отслеживать отчёты об ошибках, а также даёт доступ к полной базе зарегистрированных разработчиков.

Программа Radar требует ввода Apple ID, которые тоже поддаются краже, согласно последней информации. Он должен числиться в списке сотрудников. Ввод неверного ID должен запретить вам доступ ко всем возможностям приложения. Однако Джесси Ярви заметил, что даже после ввода Apple ID, который не числится в списке сотрудников, возможен доступ к некоторым функциям приложения, в том числе и поиску по списку сотрудников и разработчиков.

Джесси поступил как нельзя лучше, сообщив об уязвимости в 9to5Mac, а те в свою очередь довели информацию до Apple, не придавая её публичной огласке вплоть до того момента, пока Apple не починит дыру. Как вы уже можете догадаться, сейчас уязвимостью воспользоваться невозможно.