Apple recompensa con 100.000 dólares a un informático por avisar de un error de seguridad

Error de seguridad

Desde hace una semanas, hemos observado que en diferentes webs y servicios de internet de terceros podemos «loguearnos» con nuestra ID de Apple. La verdad es que la primera vez que lo vi, arrugué la nariz y no me hizo mucha gracia. Para estas cosas ya tengo una cuenta «basura» de Gmail, donde no me importa que me llegue spam porque no la miro nunca.

Si que es cierto que cuando Apple ha instaurado este sistema, se ha asegurado de que el servicio web  que lo usa no obtenga datos del usuario ni deja que envíe spam. Pero yo, por si acaso, no lo pienso usar. Ahora sabemos que había un fallo de seguridad en este sistema y la compañía a gratificado muy bien al descubridor del error.

Una vulnerabilidad de seguridad con «Iniciar sesión con Apple» podría haber permitido a los piratas informáticos llevar a cabo un control total de las cuentas de usuario a las que se accede mediante este sistema. Afortunadamente, el error fue detectado por el investigador de seguridad con sede en la India Bhavuk Jain.

Una gratificación de 100.000 dólares

En una entrada de blog publicada durante el fin de semana, Jain señaló que hizo que Apple fuera consciente de la vulnerabilidad en el mes de abril. Rápidamente desde Cupertino constataron el error y se solucionó. Gracias al programa de recompensas por errores de Apple, se ha gratificado al informático con 100.000 dólares como agradecimiento por el importante hallazgo descubierto.

El error implicó un problema con los tokens web generados al usar el sistema «Iniciar sesión con Apple» en servicios web de terceros. Jain señaló que la vulnerabilidad hizo posible que cualquier persona podía solicitar tokens para cualquier ID de correo electrónico de Apple. A continuación, se podrían usar como tokens para comprobar la identidad. Esto permitiría a los atacantes falsificar un token vinculándolo a un ID de Apple. A partir de aquí, el desconocido tendriá acceso total con el iD de Apple hackeado.

Muchos desarrolladores han integrado «Iniciar sesión con Apple», en las que es obligatorio tener una cuenta y ya cuentan con otros inicios de sesión sociales. Por ejemplo, Facebook, Dropbox, Spotify, Airbnb, Giphy etc.

Estas aplicaciones podrían haber sido vulnerables a una adquisición completa de la cuenta si no hubiera otras medidas de seguridad en vigor mientras se verificaba a un usuario. Según Jain, Apple llevó a cabo una investigación y determinó que ninguna cuenta se vio comprometida debido a este inicio de sesión antes de subsanar el fallo de seguridad.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.