Falha no AppleID permitia fazer reset da password só com email e data de nascimento

A Apple já começou a implementar um método de validação “2-step” na autenticação dos utilizadores (em alguns países), e… uma nova falha veio demonstrar o quanto isso é mesmo necessário. Ao que parece, o processo de fazer reset da password de uma conta Apple  tinha uma vulnerabilidade que permitia a qualquer pessoa ultrapassar a resposta às perguntas de segurança, e saltar directamente para a parte final do processo, onde poderiam introduzir uma nova password.

Para tal tinham apenas que saber o email do utilizador visado e também a sua data de nascimento – sendo que nesta era de redes sociais e afins, não me parece que fosse difícil descobrir ambos.
É assustador pensar que uma empresa com a dimensão da Apple tivesse uma vulnerabilidade tão flagrante numa área tão crítica na defesa da segurança dos utilizadores – mas isto serve apenas para relembrar que mesmo empresas que à partida poderiam parecer “de confiança” e que deveriam saber o que estão fazer, estão igualmente sujeitas a falhas. Neste caso podemos apenas felicitar o facto da Apple ter reagido a este problema de forma célere, rapidamente bloqueando o acesso ao sistema de reset de passwords e corrigindo-o pouco depois.

Quantos mais buracos idênticos (ou piores) não andarão por aí em sites que também pensamos serem “de confiança”? (Por mim, só vou ficar descansado quando a Apple permitir a validação 2-step também para as contas portuguesas…)

0 comments