Apple ID, risolto il bug che permetteva il reset della password

Solo poche ore fa, probabilmente a causa di altre modifiche interne in corso d'opera a Cupertino, i servizi di autenticazione online con Apple ID consentivano il reset della password anche solo con l'indirizzo mail e la data di nascita di un utente. Una grave vulnerabilità che, per fortuna, è stata corretta rapidamente.

appleid-bug

In queste ore, come noto, Apple sta implementando un nuovo e più sicuro meccanismo di autenticazione degli utenti attraverso un riconoscimento a due fasi basato sull'intersezione dei soliti dati personali con un codice inviato su un dispositivo Apple considerato affidabile. Chi ha già attivato il servizio -cosa possibile solo negli USA, al momento- non era vulnerabile al problema; per tutti gli altri, però, il rischio era concreto. Lo racconta The Verge, che per prima ha lanciato l'allarme:

Ci è stato segnalato un tutorial passo-passo (tuttora disponibile al momento della stesura di questo articolo) che spiega in dettaglio come sfruttare la vulnerabilità. La falla ha a che vedere con il copia incolla di un URL modificato mentre si risponde alla domanda di sicurezza DOB sulla pagina del sito Apple iForgot. Francamente è un processo che chiunque potrebbe gestire, e abbiamo potuto confermarlo noi stessi.

Una bella seccatura, insomma, che ha portato diversi utenti a modificare temporaneamente la propria data di nascita per rendere le cose più difficili ad un eventuale malintenzionato.

Ora per fortuna è tutto rientrato nei ranghi, ma è chiaro che a questo punto potrebbe essere una buona idea passare all'autenticazione a doppio step non appena sarà disponibile anche per il mercato italiano. E quando questo avverrà, troverete un'opzione specifica alla voce "Password e Sicurezza" della vostra pagine Apple ID.

  • shares
  • Mail