Apple heeft beveiligingsonderzoeker Bhavuk Jain 100.000 dollar betaald voor de ontdekking van een kwetsbaarheid in Inloggen met Apple. Via deze kwetsbaarheid waren accounts te hacken.
Onderzoeker Jain beschrijft in zijn blog hoe hij erin slaagde om via een zero-daykwetsbaarheid zich onrechtmatig toegang te verschaffen. Apple was nog niet op de hoogte van het beveiligingslek in het inlogsysteem.
Inlogtoken
Met de functie Inloggen met Apple kunnen gebruikers met een Apple ID inloggen bij een groot aantal diensten waaronder Spotify, TikTok of Etsy. De gebruiker hoeft zijn gegevens niet opnieuw in te vullen: hij hoeft alleen maar te drukken op de button Inloggen met Apple-knop. Via dit inlogsysteem kon Jain zich toegang verschaffen tot een Apple-account. Daarvoor had hij alleen het e-mailadres van deze gebruiker nodig. Met dit mailadres kon hij een inlogtoken verkrijgen en verifiëren bij Apple. Een dergelijk inlogtoken is voldoende om een account over te nemen, zonder dat daarvoor het wachtwoord vereist is.
Bug bounty-programma
Afgelopen april informeerde Jain het Amerikaanse techbedrijf hierover. Apple is meteen een onderzoek gestart en heeft de kwetsbaarheid inmiddels verholpen. Er zou geen misbruik gemaakt zijn van de zero-daykwetsbaarheid. Het is niet ongebruikelijk voor techbedrijven om een beloning uit te keren aan een ontdekker van een beveiligingslek of bug. Deze praktijk is bekend onder de naam bug bounty-programma.
Klik hier voor het blog van Bhavuk Jain.