100.000 dollar beloning voor vinden beveiligingslek
Computerfabrikant Apple heeft beveiligingsonderzoeker Bhavuk Jain 100.000 dollar betaald voor ontdekken van een beveiligingslek in ‘Inloggen met Apple’. Door het lek zouden hackers Apple ID-accounts kunnen overnemen, waarmee zij ook bij andere diensten kunnen inloggen.
Jain ontdekte het lek in ‘Sign in with Apple’ in april en meldde dit bij Apple. De fabrikant startte direct een onderzoek en wist het lek te dichten. Pas daarna maakte de onderzoeker zijn vondst wereldkundig. Apple zegt geen signalen te hebben ontvangen dat anderen het lek hebben ontdekt en daar misbruik van hebben gemaakt. Er worden wel vaker lekken in software van Apple ontdekt en niet altijd staat daar een beloning tegenover. Het lek waarvoor Jain had gewaarschuwd, was echter ernstig van aard, omdat alle gebruikers van Apple-systemen hierdoor gevaar liepen. De fout zou zitten in de manier waarop een token wordt gegenereerd voor het authenticeren van een Apple ID. Jain bleek voor elk willekeurig e-mailadres een token te kunnen laten aanmaken dat vervolgens door de publieke key van Apple werd gevalideerd. Zo kan iedereen toegang krijgen tot het Apple-account dat bij het e-mailadres hoort. Met het Apple ID is vervolgens toegang te krijgen tot andere diensten.