2013/03/25

Falha no AppleID permitia Fazer Reset da Password só com email e data de Nascimento


A Apple já começou a implementar um método de validação "2-step" na autenticação dos utilizadores (nalguns países), e... uma nova falha veio demonstrar o quanto isso é mesmo necessário. Ao que parece, o processo de fazer reset da password de uma conta Apple  tinha uma vulnerabilidade que permitia a qualquer pessoa ultrapassar a resposta às perguntas de segurança, e saltar directamente para a parte final do processo, onde poderiam introduzir uma nova password.

Para tal tinham apenas que saber o email do utilizador visado, e também a sua data de nascimento - sendo que nesta era de redes sociais e afins, não me parece que fosse difícil descobrir ambos.

É assustador pensar que uma empresa com a dimensão da Apple tivesse uma vulnerabilidade tão flagrante numa área tão crítica na defesa da segurança dos utilizadores - mas, isto serve apenas para relembrar que mesmo empresas que à partida poderiam parecer "de confiança" e que deveriam saber o que estão fazer, estão igualmente sujeitas a falhas. Neste caso podemos apenas felicitar o facto da Apple ter reagido a este problema de forma célere, rapidamente bloqueando o acesso ao sistema de reset de passwords, e corrigindo-o pouco depois.

... Quantos mais buracos idênticos (ou piores) não andarão por aí em sites que também pensamos serem "de confiança"? (Por mim, só vou ficar descansado quando a Apple permitir a validação 2-step também para as contas portuguesas...)

1 comentário:

  1. Olha que o "dois passos" do Google também foi vulnerável, pelo menos durante 7 meses, entre:

    2012/07/18: Issue reported to security@google.com.
    2013/02/21: Fix is pushed by Google to prevent ASP-initiated sessions from accessing sensitive account interfaces.

    https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/

    ResponderEliminar