Apple thưởng cho một nhà khoa học máy tính 100.000 USD vì báo cáo lỗi bảo mật

Toni Cortes

2 phút

Lỗi an ninh

Trong vài tuần nay, chúng tôi nhận thấy rằng trên các trang web và dịch vụ Internet khác nhau của bên thứ ba, chúng tôi có thể "đăng nhập" bằng tài khoản của mình. ID Apple. Sự thật là lần đầu tiên nhìn thấy nó, tôi đã nhăn mũi và không hài lòng lắm. Đối với những thứ này, tôi đã có một tài khoản Gmail "rác", nơi tôi không ngại bị spam vì tôi chưa bao giờ nhìn vào nó.

Đúng là khi Apple thiết lập hệ thống này, họ đã đảm bảo rằng dịch vụ web sử dụng nó không lấy được dữ liệu người dùng hoặc để nó gửi thư rác. Nhưng để đề phòng, tôi sẽ không sử dụng nó. Bây giờ chúng ta biết rằng đã có một xâm phạm an ninh trong hệ thống này và công ty đã khen thưởng rất tốt cho người phát hiện ra lỗi.

Lỗ hổng bảo mật với “Đăng nhập bằng Apple” có thể đã cho phép tin tặc chiếm toàn quyền kiểm soát tài khoản người dùng được truy cập thông qua hệ thống này. May mắn thay, lỗi đã được phát hiện bởi nhà nghiên cứu bảo mật có trụ sở tại Ấn Độ Bhavuk jain.

Tiền thưởng 100.000 USD

Trong một bài đăng trên blog được xuất bản vào cuối tuần qua, Jain lưu ý rằng anh đã thông báo cho Apple về lỗ hổng này vào tháng Tư. Cupertino nhanh chóng phát hiện ra lỗi và nó đã được giải quyết. Nhờ chương trình thưởng lỗi của Apple, nhà khoa học máy tính đã được khen thưởng Đô la Mỹ 100.000 như lời cảm ơn vì phát hiện quan trọng đã được phát hiện.

Lỗi liên quan đến sự cố với mã thông báo web được tạo khi sử dụng hệ thống "Đăng nhập với Apple» trong các dịch vụ web của bên thứ ba. Jain lưu ý rằng lỗ hổng này khiến mọi người có thể yêu cầu mã thông báo cho bất kỳ ID email Apple nào. Sau đó, chúng có thể được sử dụng làm mã thông báo để xác minh danh tính. Điều này sẽ cho phép kẻ tấn công giả mạo mã thông báo bằng cách liên kết nó với ID Apple. Từ đây, người lạ sẽ có toàn quyền truy cập vào Apple iD bị hack.

Nhiều nhà phát triển đã tích hợp “Đăng nhập bằng Apple”, yêu cầu phải có tài khoản và đã có thông tin đăng nhập xã hội khác. Ví dụ, Facebook, Dropbox, Spotify, Airbnb, Giphy và vv

Những ứng dụng này có thể dễ bị chiếm đoạt tài khoản hoàn toàn nếu không có biện pháp bảo mật nào khác được áp dụng trong khi người dùng đang được xác minh. Theo Jain, Apple đã tiến hành một cuộc điều tra và xác định rằng không có tài khoản nào bị xâm phạm do đăng nhập này trước khi sửa lỗi bảo mật.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.