Apple récompense un informaticien de 100.000 $ pour avoir signalé une erreur de sécurité

Erreur de sécurité

Depuis quelques semaines, nous constatons que sur différents sites Web et services Internet tiers, nous pouvons "nous connecter" avec notre Identifiant Apple. La vérité est que la première fois que je l'ai vu, je me suis plissé le nez et je n'étais pas très drôle. Pour ces choses, j'ai déjà un compte Gmail "indésirable", où je me fiche de recevoir du spam car je ne le regarde jamais.

S'il est vrai que lorsque Apple a installé ce système, il s'est assuré que le service Web qui l'utilise n'obtient pas de données utilisateur ou ne lui permet pas d'envoyer du spam. Mais moi, au cas où, je n'ai pas l'intention de l'utiliser. Maintenant, nous savons qu'il y avait un violation de la sécurité dans ce système et l'entreprise a très bien récompensé le découvreur de l'erreur.

Une faille de sécurité avec "Se connecter avec Apple" aurait pu permettre à des pirates de contrôler totalement les comptes utilisateurs accessibles via ce système. Heureusement, le bogue a été repéré par le chercheur en sécurité basé en Inde Bhavuk jaïn.

Un bonus de 100.000 XNUMX $

Dans un article de blog publié ce week-end, Jain a noté qu'il avait informé Apple de la vulnérabilité en avril. Rapidement de Cupertino, ils ont vérifié l'erreur et elle a été résolue. Grâce au programme de bug bounty d'Apple, l'informaticien a été récompensé par Dolaires 100.000 comme merci pour la découverte importante découverte.

L'erreur concernait un problème avec les jetons Web générés lors de l'utilisation du «Connectez-vous avec Apple»Dans les services Web tiers. Jain a noté que la vulnérabilité permettait à quiconque de demander des jetons pour n'importe quel identifiant de messagerie Apple. Ils pourraient ensuite être utilisés comme jetons pour vérifier l'identité. Cela permettrait aux attaquants d'usurper un jeton en le liant à un identifiant Apple. De là, l'étranger aura un accès complet avec l'iD Apple piraté.

De nombreux développeurs ont intégré "Se connecter avec Apple" là où un compte est requis et ils ont déjà d'autres connexions sociales. Par exemple, Facebook, Dropbox, Spotify, Airbnb, Giphy et ainsi de suite

Ces applications auraient pu être vulnérables à une prise de contrôle complète du compte s'il n'y avait pas d'autres mesures de sécurité en place pendant la vérification d'un utilisateur. Selon Jain, Apple a mené une enquête et a déterminé que aucun compte n'a été compromis en raison de cette connexion avant de corriger la faille de sécurité.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.