A Apple mal lançou um recurso de verificação em duas etapas para o Apple ID e oiCloud e uma falha grave de segurança foi descoberta que afeta diretamente quem aindanão fez a migração. O problema permitia a usuários mal-intencionados o ‘reset’ da senha dos outros apenas com o endereço de e-mail e a data de nascimento da vítima, utilizando as próprias ferramentas da empresa.
A vulnerabilidade é explorada colando na barra de endereços uma URL modificada enquanto responde a data de nascimento na página do iForgot. Segundo o The Verge, que recebeu a denúncia, testou e confirmou, se trata de um processo muito simples e que qualquer um poderia realizar.
O site avisa que, quem ainda não fez a migração para o serviço de autenticação em duas etapas, que o faça imediatamente. Entretanto, as novas medidas de segurança não estão disponíveis para quem não mora nos EUA, Reino Unido, Austrália, Irlanda e Nova Zelândia. Contudo, há uma fila de espera de cerca de 3 dias para completar a transferência.
A Apple, reconhecendo a falha, rapidamente tirou do ar a ferramenta para ‘reset’ em senhas que está “temporariamente indisponível para manutenção”.
Olhar Digital: Falha de segurança da Apple permite resetar senhas dos outros.
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.