20-летний хакер Сэм Керри со своей командой в течение 3 месяцев искал уязвимости в сервисах Apple. В результате работы они нашли 55 уязвимостей, которые позволили им похитить данные из iCloud, почты и других сервисов компании.
Найденные недостатки разделены по группам:
- 11 — критические;
- 29 — высокой степени опасности;
- 13 — умеренно опасные.
Керри рассказал о том, как велась работа: пользователям облачного хранилища iCloud «белые» хакеры отправляли письма с вредоносным кодом, который давал доступ к данным. Более того, код мог копировать себя в письма, которые рассылал пользователь другим контактам, что увеличивало количество взломанных аккаунтов.
В опасности оказался и сайт для онлайн-обучения Apple Distinguished Educators. Хакеры смогли присвоить аккаунтам единый пароль, который позволил им войти в учетные записи пользователей без дополнительной проверки. На одном из сайтов компании Керри также смог подобрать пароль для входа в аккаунт сотрудников: взломанный аккаунт оказался административным, что дало хакерам практически доступ к консоли Jive. Нарушить работу систем Apple тоже оказалось не слишком сложно: хакеры получили доступ к логинам и паролям сотрудников компании, которые позволили войти во внутреннюю сеть.
Результатами работы Сэм Керри поделился с Apple, которая выплатила хакерам 51 000 долларов. При этом общая сумма вознаграждения может составить до 500 000 долларов. Компания также сообщила, что все обнаруженные уязвимости ликвидированы и проблемы устранены.
