Čerstvě zpřístupněná možnost dvoustupňového ověření pro Apple ID a iCloud se prostřednictvím nedostatku proměnilo ve vážný bezpečnostní problém. U účtu bez povoleného dvoustupňového ověření bylo možné provést reset hesla pouze na základě znalosti data narození či e-mailové adresy. Chybou byla možnost využití prostou kopii upravené adresy (URI) v rámci procesu odpovídání na bezpečnostní otázky k vynechání nutnosti zadání bezpečnostní otázky.
Reset hesla prostřednictvím stránky iForgot přitom umožňuje nastavit nové heslo a bezpečnostní nedostatek tak znamenal možnost okamžitého odcizení účtu. Nové dvoustupňové ověření je navíc dostupné pouze ve vybraných zemích (US, Velká Británie, Austrálie, Irsko a Nový Zéland) a případnému zneužití chyby se tak nebylo možné bránit. Případné pokusy o aktivaci pro řadu uživatelů přinesly pouze informaci o zařazení požadavku a nutnost počkat až tři dny.
Podle iMore.com Apple stránku iForgot nejprve znepřístupnilo a po novém zpřístupnění je bezpečnostní nedostatek opraven.
Zdroj: Apple rolls out fix for password reset security hole, iForgot site back up
ČLÁNKY DO MAILU