By: toandthen 
on 22 July 2013 - 20:31
Tags:
Topics:
จนถึงตอนนี้ แอปเปิลยังไม่ได้เปิดหน้าเว็บสำหรับนักพัฒนา หลังจากที่พบว่าถูกโจมตีและนักพัฒนาที่ลงทะเบียนไว้อาจจะถูกขโมยข้อมูลส่วนตัวไป ล่าสุดนักวิจัย Ibrahim Balic ได้ออกมาประกาศว่าเขาอาจจะเป็นต้นเหตุที่ทำให้แอปเปิลต้องปิดหน้าเว็บไป
Balic บอกว่า เขาได้พยายามเตือนแอปเปิลถึงช่องโหว่ของหน้าเว็บสำหรับนักพัฒนา โดยตัวเขาเองได้พบกับช่องโหว่กว่า 13 อย่างบน Developer Center และเขาได้ส่งข้อมูลดังกล่าวให้กับแอปเปิลผ่านหน้า Bug report
หนึ่งในบั๊กที่เขาได้ส่งไปให้กับแอปเปิล ระบุว่ามีบั๊กตัวหนึ่ง ที่ทำให้เขาสามารถเข้าถึงข้อมูลของผู้ใช้ Developer Center ได้ โดยหลังที่เขาได้ส่ง Bug report ฉบับนั้นไปเพียงแค่สี่ชั่วโมง หน้า Developer Center ของแอปเปิลก็ได้ปิดให้บริการไป
ที่มา - C|net News
My name is ibrahim Balic, I am a security researcher. You can also search my name from Facebook's Whitehat List. I do private consulting for particular firms. Recently I have started doing research on Apple inc.
In total I have found 13 bugs and have reported through http://bugreport.apple.com. The bugs are all reported one by one and Apple was informed. I gave details to Apple as much as I can and I've also added screenshots.
One of those bugs have provided me access to users details etc. I immediately reported this to Apple. I have taken 73 users details (all apple inc workers only) and prove them as an example.
4 hours later from my final report Apple developer portal gas closed down and you know it still is. I have emailed and asked if I am putting them in any difficulty so that I can give a break to my research. I have not gotten any respond to this... I have been waiting since then for them to contact me, and today I'm reading news saying that they have been attacked and hacked. In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I'm not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn't attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn't attempt to get the datas first and report then, instead I have reported first.
I do not want my name to be in blacklist, please search on this situation. I'm keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report.
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
บัก -> บั๊ก
ทำให้รู้เลยว่า Apple Dev Center เขียนด้วย Google Web Toolkit
เหลือ Microsoft 555
Apple developer center ถ้าได้เคยใช้ ต้องเคยเจอว่าตัวเองอยู่ๆ ก็หลงไปอยู่ session หรือ account ชาวบ้านเค้าเฉยเลย เป็นมานานแล้ว แล้วไม่ยอมแก้ไขด้วยนะ ไม่รู้จะจุดเดียวกันหรือเปล่า
+1
portal.apple.com ก็เป็นเหมือนกัน
เคยเข้าไปทำข้อสอบให้คนอื่นเฉยๆ ทั้งที่ใช้ login ของตัวเอง
ผมเป็นลูกคนเล็ก
+1 หลายๆครั้งที่devแต่ละคนเดินไปดูหมายเลขapp ของdevคนอื่นได้
ทุกคนแม่งก็รายงานแล้วก็บ่นๆๆๆ(เป็นปีแล้ว appleก็ไม่แก้ไข.....)
เป็นเหมือนกันครับ จู่ๆเปลี่ยนชื่ผมซะงั้น
+1 เจอหลายทีแล้วครับ
+1 เคยเจอเหมือนกัน ... แล้วก็ battle.net อีกที่ ที่เคยเจอ
ผมว่าหัวข้อข่าวไม่ clear นะครับ เขาเป็นต้นเหตุ --> เขาคือใคร?
+1 ครับ อ่านหัวข้อข่าวครั้งแรกผมนึกว่าเป็นกลุ่มคนด้วยซ้ำ
you are hacker ....
อาจจะไม่ใช่เค้าก็ได้ แต่อย่างน้อยออกมาแบบนี้ก็ได้ดังล่ะ #แผนลวงสำเร็จแล้ว
"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."