Apple heeft 100.000 dollar (90.000 euro) betaald aan de beveiligingsonderzoeker Bhavuk Jain voor het ontdekken van een beveiligingslek in ‘inloggen met Apple’. Door het beveiligingslek konden accounts door kwaadwillenden worden overgenomen.
Op zijn blog legt Jain uit hoe hij via een zero-daykwetsbaarheid misbruik kon maken van het inloggen met Apple. Met deze functionaliteit kunnen gebruikers met een Apple ID inloggen bij andere diensten.
Via dit inlogsysteem kon Jain toegang krijgen tot een Apple-account. Met alleen het e-mailadres van een gebruiker kon hij een inlogtoken krijgen en verifiëren bij Apple. Vervolgens kon hij het account overnemen.
Jain heeft het beveiligingslek in april bij Apple gemeld. Het bedrijf is toen meteen een onderzoek gestart en heeft het lek inmiddels gedicht. Volgens Apple is er geen misbruik gemaakt van de kwetsbaarheid.
Wanneer iemand een beveiligingslek in de software van Apple ontdekt, wordt er in sommige gevallen een beloning uitgekeerd.
