Video: SuperPower Rings Origin Story! SHK HeroForce Full Movie Compilation | SuperHeroKids (Nobyembre 2024)
Habang ang "panghihimasok" na naka-access sa Apple Developer Center ay naging isang mausisa lamang na pagtagos, ang mga pag-atake laban sa mga site ng nag-develop ay maaaring magkaroon ng malubhang kahihinatnan na lampas sa pagnanakaw lamang ng personal na impormasyon.
Pinahinto ng Apple ang Website ng developer ng Mac, iPhone, at iPad nitong Huwebes, na sinasabing nagsasagawa ito ng hindi naka-iskedyul na pagpapanatili. Nagbigay ito ng walang ibang impormasyon, at ang mga nag-develop ay lalong nag-aalala tungkol sa matagal na pagkagastos. Sa pamamagitan ng portal, ang mga developer na ito ay hindi maaaring gumana sa bagong code, suriin ang katayuan ng kanilang umiiral na mga app, o pamahalaan ang kanilang mga account.
"Huling Huwebes, tinangka ng isang intruder na ma-secure ang personal na impormasyon ng aming mga nakarehistrong developer mula sa aming website ng developer, " sa wakas ay sinabi sa Apple sa mga developer sa pamamagitan ng email Linggo ng gabi. Habang ang sensitibong impormasyon ay naka-encrypt at hindi na-access, sinabi ng kumpanya na "ang ilang mga pangalan ng mga developer, mga mail address, at / o mga email address ay maaaring mai-access."
Hindi isang Malisyosong Pag-atake?
Si Ibrahim Balic, isang tagasuri ng pagtagos na nakabase sa London, ay nagtiwalag sa tinatawag na isang intruder. Regular na inuupahan ng mga kumpanya ang Balic upang subukang makahanap ng mga kahinaan sa kanilang mga system, at kamakailan lamang ay nagpasya siyang tingnan ang mga site ng Apple. Natagpuan niya ang 13 mga bug sa kabuuan, ang lahat ng iniulat na gumagamit ng online bug reporter, aniya. Apat na oras pagkatapos ng kanyang huling ulat ng bug, nakuha ang portal.
"Apple !! Ito ay tiyak na hindi isang pag-atake ng hack !! Hindi ako isang hacker, gumawa ako ng pananaliksik sa seguridad, " sumulat si Ibrahim Balic sa Twitter.
Sinabi ni Balic na hindi tumugon si Apple sa kanyang mga ulat sa bug. "Hindi ko ginawa ang pananaliksik na ito upang makapinsala o makapinsala, " aniya sa isang komento na nai-post sa TechCrunch. Lumikha siya ng isang video sa YouTube upang ipakita kung paano niya mai-access ang impormasyon ng developer, ngunit nakuha ito matapos na mapagtanto na hindi niya tinakpan ang mga pangalan at detalye ng mga indibidwal na developer.
Bakit ang mga Target Developers pa rin?
Maaaring hindi inilaan ni Balic ang anumang nakakahamak sa panahon ng kanyang pag-iwas sa mga server ng Apple, ngunit ang mga developer ay lalong na-target. Ibinunyag ng Canonical na ang mga forum ng Ubuntu nito ay nasira sa katapusan ng linggo. Ang mga pag-atake na ito ay hindi naiiba sa pag-atake sa anumang iba pang site. Tulad ng sa mga nakaraang insidente, ang mga gumagamit na ito ay nasa panganib para sa mga pag-atake sa panlipunang pang-engineering tulad ng pekeng password na na-reset. Maaari ring subukang mag-log in ang iba pang mga site na may mga ninakaw na kredensyal.
Ang mga portal ng developer ay "mga hubs" kasama ang mga gumagamit mula sa maraming iba't ibang mga samahan, sinabi ni Mike Lloyd, CTO ng RedSeal Networks. Ang pag-atake ay maaaring hindi interesado sa aktwal na data na nakaimbak sa site ng developer mismo, ngunit sa halip ang mga kredensyal sa pag-login na maaaring gumana sa iba pang mga site, sinabi ni Lloyd. "Kung maaari mong kompromiso ang mga detalye ng account sa isang site ng hub, ang mga logro ay mabuti na mayroon ka na ngayong wastong mga logins para sa isang malaking bilang ng iba pang mga kumpanya, " sabi ni Lloyd.
Mas maaga sa taong ito, isang forum ng developer ng iOS ay nakompromiso at nahawaang mga empleyado sa Twitter, Facebook, at iba pa na may malware. Ang mga umaatake na naka-target sa site ng developer ng Apple ay maaaring maging interesado sa paglulunsad ng mga pag-atake ng pagtutubig sa mga target ng mga developer sa ibang mga kumpanya, sinabi ni Lee Weiner, senior vice-president ng mga produkto at engineering sa Rapid7.
Ang mga pag-atake na may ninakaw na account sa developer ng Apple ay maaaring mag-upload ng mga potensyal na nakakahamak na aplikasyon sa ilalim ng pangalan ng nag-kompromiso, sinabi ni Michael Sutton, bise-presidente ng pananaliksik sa seguridad sa Zscaler.
Dahil ang mga account ay mayroong sertipiko sa pag-sign ng developer para sa naaprubahan na apps, mayroong panganib na ang mga umaatake ay maaaring mag-sign ng mga nakakahamak na apps gamit ang mga lehitimong sertipiko, sabi ni Tommy Chin, inhinyero ng suporta sa teknikal sa CORE Security. "Ang mga Pekeng na-verify na apps sa Appstore ay lilitaw kung hindi panatilihin ng Apple ang portal hanggang sa naayos na ito, " sabi ni Chin.
"Ang pag-atake ay dumating sa isang masamang oras para sa Apple dahil pinipilit nila na kunin ang offline na portal ng developer habang naghahanda ang mga application para sa iOS 7, na nakatakda para ilabas sa taglagas, " sinabi ni Sutton.
