Сбросить пароль любого аккаунта Apple ID можно было, зная лишь день рождения владельца

«Дожили!» — вот как можно прокомментировать новость, появившуюся минувшей ночью. Как выяснилось, вплоть до полудня 23 марта по Москве злоумышленники могли обмануть защиту аккаунтов Apple ID и сбросить пароль любого аккаунта, зная лишь почтовик (который в большинстве случаев совпадает с самим Apple ID) и дату рождения, указанную в настройках аккаунта. Самое интересное, что никто не знает, когда появилась эта лазейка — то ли в момент начала тестирования двухэтапной авторизации через мобильные устройства, то ли ещё раньше. Соответственно, никто не может сказать, кто успел воспользоваться такой возможностью.

Сама инструкция по сбросу пароля вроде бы нигде не публиковалась, да и публиковать её уже поздно, т.к. в Apple оперативно закрыли уязвимость. Известно лишь, что на странице ввода ответов на контрольные вопросы для доступа к аккаунту надо было добавить некие параметры в строку адреса браузера.

Таким образом, можно надеяться, что на этот раз всё обошлось без последствий. Но сам факт наличия подобной уязвимости бросает серьёзную тень на репутацию компании: кто знает, чем могла бы обернуться эта история?