Apple a platit suma de 100.000 USD lui Bhavuk Jain pentru o vulnerabilitate de securitate pe care a gasit-o in cadrul optiunii „Conectati-va cu Apple” folosita pentru unele site-uri web si aplicatii terte. Bug-ul ar putea permite hackerilor sa preia controlul complet asupra contului unui utilizator.
Aceasta slabiciune in materie de securitate a aparut datorita modului in care serverele Apple au verificat un cont de utilizator in timpul procesului de conectare „Conectati-va cu Apple”. La logare, un Token Web JSON este utilizat pentru autentificarea contului, iar acest token poate contine adresa de e-mail Apple ID a utilizatorului in functie de optiunile selectate.
Jain a descoperit ca ar putea solicita un token Web JSON pentru orice cont Apple legitim si semnatura va fi verificata ca fiind valabila de fiecare data. Un hacker nu ar avea nevoie decat sa cunoasca adresa de e-mail asociata unui ID Apple pentru a obtine un token validat si a obtine acces la cont. Conturile care utilizeaza autentificarea cu doi factori (2FA) pot fi protejate de acest vector de atac.
In timpul procesului de corectie, Apple a examinat jurnalele serverului si nu a gasit nicio dovada ca cineva a exploatat acest defect.
Programele de recompense sunt o modalitate populara pentru companiile de tehnologie de a incuraja hackerii white-hat sa incerce sa gaseasca vulnerabilitati in software-ul lor. Aceste defecte sunt raportate si reparate inainte ca eroarea sa fie facuta publica. Desi multe companii cu profil inalt au programe de recompense, sume mai importante nu sunt platite foarte des, deoarece sunt rezervate vulnerabilitatilor semnificative si critice.