Der Hack des Entwicklerportals von Apple wirft gerade einige Wellen.

Nachdem Apple seine Entwickler per E-Mail informierte meldet sich nun der britische Sicherheitsspezialist Ibrahim Balic zu Wort.

Er schreibt in einen Statement, das er es war welcher in die Apple Seiten eingebrochen ist. Am Freitag entdeckte er 13 Sicherheitslücken mit welchen er auf einige 100 Tausend Accounts Zugriff hatte. Er informierte Apple darüber und sendete Daten von 74 Accounts welche Apple gehörten als Beweis mit.

3 Stunden später nahm Apple das Portal offline und begann damit die Lücken zu flicken. Balic betont, dass er keinerlei Schaden anrichten wollte, sondern Apple sofort auf die Gefahr aufmerksam gemacht habe:

Hi there,

My name is ibrahim Balic, I am a security researcher. You can also search my name from Facebook’s Whitehat List. I do private consulting for particular firms. Recently I have started doing research on Apple inc.

In total I have found 13 bugs and have reported through http://bugreport.apple.com. The bugs are all reported one by one and Apple was informed. I gave details to Apple as much as I can and I’ve also added screenshots.

One of those bugs have provided me access to users details etc. I immediately reported this to Apple. I have taken 73 users details (all apple inc workers only) and prove them as an example.

4 hours later from my final report Apple developer portal gas closed down and you know it still is. I have emailed and asked if I am putting them in any difficulty so that I can give a break to my research. I have not gotten any respond to this… I have been waiting since then for them to contact me, and today I’m reading news saying that they have been attacked and hacked. In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage.

Der Hack war also kein solcher im eigentlichen Sinne sondern das Werk eines Sicherheitsspezialisten welcher Apple Infos darüber zukommen lies. Ob vorher schon einer der „bösen Jungs“ das Loch ausnutzen konnte ist bisher unklar, aber wenig wahrscheinlich.

Anbei noch das Video in welchem sich Ibrahim Balic erklärt (via TheNextWeb):

Am Donnerstag ging Apple’s Entwickerportal developer.apple.com offline und ist seither nicht mehr erreichbar.

Gestern Abend nun hat Apple in einer E-Mail an Entwickler bekannt geben, dass die Seite gehackt worden sein. Sensible Daten wie Kreditkartennummern oder Passwörter seien verschlüsselt und nicht in den Händen der Angreifer. Möglicherweise konnten aber E-Mail Adressen und Adressdaten geklaut werden.

Apple ist momentan daran die Entwicklerseiten neu aufzubauen und hat noch keinen Zeitplan bekannt geben wann diese wieder online sind.

Anbei noch das E-Mail welches an die Entwickler verschickt wurde, danke für eure zahlreichen Hinweise: