Apple’s developersite gehackt, dader: ‘ik bedoel het goed’

Door: Koen van Tongeren - 23 reacties

Sinds afgelopen donderdag konden geregistreerde ontwikkelaars niet meer inloggen op Apple’s Developer portal. Een reden hiervoor werd niet gegeven, tot gisterenavond. Ontwikkelaars hebben toen een mail ontvangen waarin verklaard wordt dat geprobeerd is in te breken in de database waar persoonlijke informatie van ontwikkelaars staat opgeslagen. Daarbij zou geen gevoelige informatie van ontwikkelaars ontvreemd, omdat die versleuteld is. Apple kan echter niet uitsluiten dat namen, e-mail- en postadressen van ontwikkelaars ‘gestolen’ zijn.

Op dit moment wordt hard gewerkt aan nieuwe beveiligingssystemen waardoor de ontwikkelaarsportal binnenkort weer online komt. Tot die tijd moeten ontwikkelaars duimen draaien omdat voor hun belangrijke informatie en diensten onbereikbaar zijn. Ondertussen heeft een beveiligingsexpert uit Groot Brittannië verklaard waarschijnlijk de boosdoener te zijn, al had hij er geen kwade bedoelingen bij.

De Britse beveiligingsexpert Ibrahim Balic reageerde kort nadat het nieuws van de hack naar buiten kwam. In een reactie op een artikel van TechCrunch verklaart hij voor bedrijven onderzoek te doen naar de beveiliging van online systemen. Onlangs richtte hij op eigen initiatief zijn pijlen op Apple  om te zien of het bedrijf zijn online-beveiliging op orde had. Daarbij kwam hij op 13 bugs waarvan er één toegang gaf tot persoonlijke informatie van ontwikkelaars.

Naar eigen zegge deelde Balic zijn bevindingen afgelopen donderdag via Apple’s algemene bugmeldpagina. Om zijn bevindingen geloofwaardiger te maken voegde hij de verkregen gegevens van 73 Apple-medewerkers toe, maar volgens de hacker/ onderzoeker kunnen net zo eenvoudig gegevens van niet-Apple-ontwikkelaars en zelfs van reguliere gebruikers vergaard worden.

Vier uur na de melding werd Apple’s ontwikkelaarsportal offline gehaald. Het blijft gissen of dit inderdaad gebeurde vanwege het onderzoekswerk van Balic. Zelf is hij er in ieder geval van overtuigd. Om zijn vermoedens kracht bij te zetten heeft hij onderstaand YouTube-filmpje gemaakt.

Hoe belangrijk de ontdekking van het lek en Apple’s stappen om er iets aan te doen ook zijn, het langdurig offline halen van de ontwikkelaarsportal levert problemen op voor ontwikkelaars. Zij hebben al bijna vijf dagen geen toegang tot developer-documentatie en fora. Ook kunnen ze geen apps publiceren in de App Store en is het niet mogelijk om certificaten, profielen of betasoftware te downloaden. Daarom wordt verwacht dat Apple niet lang meer zal wachten met het uitrollen van de nieuwe beveiligde ontwikkelaarsportal.

Reacties

23 reacties
  • Profielfoto
    Jenner2006

    Een goed ding is in ieder geval dat Apple het serieus neemt en niet gaat ontkennen dat er fouten in het systeem zitten.

  • Profielfoto
    Wesdegroot

    Is een voordeel maar ook een nadeel, ik heb nu een nieuwe Mac maar ben verplicht om op de oude Mac te werken omdat ik geen certificaten kan downloaden evenals profielen.

  • Profielfoto
    GrannySmith

    Wat een eikel. Security research, mijn hoela!

    Alleen als je in opdracht een pentest doet dan is dat oke. Al het andere is ordinaire inbraak. Als er iemand in je huis rondloopt dan neem je ook geen genoegen dat die persoon dan beweert alleen maar je voordeurslot te hebben willen testen.

    In vrijwel elk land telt dit gewoon als inbraak en is dus strafbaar. En zo hoort het ook.

    En je bent “hacker” maar je weet niet dat ‘data’ al meervoud is… zucht.

  • Profielfoto
    Yost

    Ik heb geen bericht van Apple gehad. Blijkbaar krijgen niet alle geregistreerde developers een mail. Of zijn er verschillende developer servers…

  • Profielfoto
    Buzz

    Blijkbaar is hij beter in Python dan in Engels.

  • Profielfoto
    Imade

    Wat een eikel. Security research, mijn hoela!

    Alleen als je in opdracht een pentest doet dan is dat oke. Al het andere is ordinaire inbraak. Als er iemand in je huis rondloopt dan neem je ook geen genoegen dat die persoon dan beweert alleen maar je voordeurslot te hebben willen testen.

    In vrijwel elk land telt dit gewoon als inbraak en is dus strafbaar. En zo hoort het ook.

    En je bent “hacker” maar je weet niet dat \’data\’ al meervoud is… zucht.

    Dus moeten alleen black-hat heckers gaan hacken?
    Dus moeten eerst jouw gegevens in criminele handen komen?
    White-hat hackers zorgen juist voor meer veiligheid en dit is NIET te vergelijken met een voordeur.

  • Profielfoto
    istanley

    Hij beetje goed zitten praten is gewoon inbraak dus strafbaar.
    Gewoon afblijven van andermans eigendommen is dat zo moeilijk?.

  • Profielfoto
    ieperlingetje

    @istanley, hoe wil je dan lekken gaan opsporen?

  • Profielfoto
    Gogol

    @ieperlingetje, met toestemming

  • Profielfoto
    Imade

    @ieperlingetje, met toestemming

    hjahahahahahhaa… dat krijg je ook lekker makkelijk tegenwoordig hĂ©? :’)

  • Profielfoto
    aukem

    Hij heeft accounts laten zien met namen en e-mail adressen… strafbaar dus

  • Profielfoto
    Lastminuteguy

    Deze man heeft het éérst bij Apple gemeld, heeft vervolgens gewacht tot Apple het zelf bekend maakte en heeft dáárna pas zijn bevindingen bekend gemaakt. Volgens mij is dat de definitie van een White hat hacker. Dat hij in het filmpje gevoelige gegevens vrijgeeft is wellicht minder slim. Maar zijn intentie is adhv de volgorde van zijn acties duidelijk lijkt me.

    De technische informatie die hij geeft in het filmpje zou inmiddels nutteloos moeten zijn, ik ga er, net zoals deze man, vanuit dat Apple eerst het lek dicht en dan pas bekend maakt dat ze gehackt zijn. De persoonlijke info van het personeel gaat niet verder dan wat namen en mailadressen. Iets wat men tegenwoordig op Facebook ook kan vinden. Met andere woorden; het minst schadelijke wat je vrij kunt geven om aan te tonen dat je daadwerkelijk een lek gevonden hebt.

  • Profielfoto
    Hydræ

    Dat lijkt op een winkel overvallen en dan zeggen “ja maar ik bedoel het goed hoor!”

  • Profielfoto
    Imade

    Dat lijkt op een winkel overvallen en dan zeggen “ja maar ik bedoel het goed hoor!”

    Dat is natuurlijk onzin omdat het hier om een website betreft en je hoeft geen gaten in een winkel te zoeken.

  • Profielfoto
    hendrik ijzerbroot

    Wat een eikel. Security research, mijn hoela!

    Alleen als je in opdracht een pentest doet dan is dat oke. Al het andere is ordinaire inbraak.

    Niet als je het vergelijkt met een bezoek van de arbeidsinspectie in het kader van de volksgezondheid. In zo’n geval wordt het restaurant ook niet ingelicht en staan ze plotseling voor je neus. Waarom zou dat dan wel moeten met een onderzoek m.b.t. internet veiligheid?

  • Profielfoto
    GrannySmith

    Niet als je het vergelijkt met een bezoek van de arbeidsinspectie in het kader van de volksgezondheid. In zo\’n geval wordt het restaurant ook niet ingelicht en staan ze plotseling voor je neus. Waarom zou dat dan wel moeten met een onderzoek m.b.t. internet veiligheid?

    Het gaat hier niet om allerlei vergelijkingen te bedenken die wel of niet ter zake zijn. Het gaat er om dat wat deze meneer doet volgens de democratisch besloten wetgeving niet mag. Een misdaad is. Als we met zijn allen het wel normaal gaan vinden dat er op computersystemen altijd ingebroken mag worden door goedbedoelende ‘researchers’ en dit dan gaan toelaten in de wet dan ok. Maar dat is dus niet zo.

    Wat deze meneer gedaan heeft is in vrijwel alle landen gewoon verboden. Dan dus dat gaan goedpraten is niet de weg; de wet veranderen wel.

    @imade:

    “White-hat hackers zorgen juist voor meer veiligheid en dit is NIET te vergelijken met een voordeur.”

    Wacht maar tot je geconfronteerd wordt met zo’n misdadiger die in jouw computer heeft zitten grasduinen zonder dat je dat wist. Want dat is hier dus gebeurd; niet meer en niet minder. Als dat jou gebeurt piep je anders. Dan voel je je vrijwel zeker net zoals mensen bij wie ingebroken is.

    Natuurlijk gaat de vergelijking met een junk die door je voordeur naar binnen loopt en in in je huis rondloopt, alle laadjes opentrekt, de koelkast bekijkt, je afschriften van de bank doorbladert, even met zijn handjes aan je waardevolle postzegelverzameling zit etc. etc., enigszins mank. Maar dat is dus wel wat hier gebeurd is. En dat is strafbaar. Een misdaad. Degene die het doet is een crimineel.

    Wat is dat toch dat mensen bij cybercrime sympathie hebben voor de dader? Wat is er toch anders aan misdaad per computer dan misdaad met de vuist bijvoorbeeld?

  • Profielfoto
    Steef Ams

    @GrannySmith Juist, het is strafbaar, daar heb je volledig gelijk in. De intentie van deze wetsovertreder was echter niet crimineel maar gericht op het aangeven van een beveiligingsrisico, wat hij dan ook heeft gemeld aan Apple. Ik ben het met je eens dat je geen onderscheid kan maken tussen verschillende intenties van hackers en de man gewoon vervolgd dient te worden. Een hack is een hack, punt uit. De rechter kan in de straf welrekening houden met de intentie van de overtreder.

    Het probleem dat ik anders zie is dat straks een hacker met foute intenties opeens gaat doen alsf hij goede intenties had wanneer hij gesnapt wordt door te zeggen dat hij het lek wilde tonen aan de gehackte. Eigenlijk kan je dit alleen voorkomen door voordat je gaat hacken een document bij een notaris aan te maken waarin staat dat de gehackte op een bepaald moment op de hoogte gesteld moet worden van de poging, wat het resultaat ook mag zijn. Dat zou een geloofwaardigheid kunnen ondersteunen bij een gesnapt worden. Maar dit neemt nog niet weg dat het een overtreding is van de wet en een rechter dient te beslissen over een passende straf.

  • Profielfoto
    essiw

    Je kan dit gewoon vergelijken met een winkel, stel je voor dat er een gat in de muur van de winkel zit. Om het geloofwaardig te maken dat je door het gat heen kan (want de gaten zijn niet te zien natuurlijk) neem je een paar kleine producten mee waar zo’n veiligheidsstrip in zit. En die producten laat je zien als bewijs, je gebruikt ze niet zelf. Zou dat nou zo’n groot probleem zijn? Ik denk van niet. Het zou veel erger zijn als hij het niet zou laten zien en dat er een paar mensen alles beroven…

  • Profielfoto
    GrannySmith

    Om het geloofwaardig te maken dat je door het gat heen kan (want de gaten zijn niet te zien natuurlijk) neem je een paar kleine producten mee waar zo\’n veiligheidsstrip in zit. En die producten laat je zien als bewijs, je gebruikt ze niet zelf. Zou dat nou zo\’n groot probleem zijn? Ik denk van niet.

    .
    Zoals Steef Ams in zijn post boven die van jou zegt; hoe ga je het verschil maken tussen mensen met goede en mensen met slechte bedoelingen? Dat kun je als bedrijf/organisatie dus niet, dat laten we dan maar aan de rechter over. En dan is het redelijk eenvoudig; de wet zegt dat het niet mag dus dan weet de rechter wat zij moet besluiten.
    .
    Denk eens na over je prive situatie; iemand neemt uit jouw huis spullen mee. En een paar dagen later meldt die persoon dat. En ja; hij heeft dus van alles bekeken in je huis maar verder niets meegenomen. Alleen die paar spullen. En die wil hij best wel teruggeven want het was toch alleen maar om te laten zien dat je een slecht slot op de voordeur hebt. Nee; zegt de wet. Dat is huisvredebreuk. Net zoals er dus computervredebreuk is. Strafbaar.

    Enfin; in dit geval heb ik dus geen “sympathy for the devil”:wink:

  • Profielfoto
    hendrik ijzerbroot

    Het gaat hier niet om allerlei vergelijkingen te bedenken die wel of niet ter zake zijn. Het gaat er om dat wat deze meneer doet volgens de democratisch besloten wetgeving niet mag. Een misdaad is.
    Wat deze meneer gedaan heeft is in vrijwel alle landen gewoon verboden.

    Elke wet is rekbaar. Geen enkele wet mag absoluut zijn. Dus is het pas een misdaad als de rechter dat besluit. In dit geval siert het de man dat hij er gelijk voor uit komt, een ‘echte’ hacker had dit niet gedaan. Ook het feit dat hij een beveiligingsexpert is zal bepalend zijn voor de uitspraak.

    Wat is dat toch dat mensen bij cybercrime sympathie hebben voor de dader?

    Los van het feit dat het niet perse cybercrime hoeft te zijn (dat bepaald de rechter) wat deze man heeft gedaan, is het zo dat elke regering zijn onderdanen blijkt af te luisteren. Wij (lees de EU) zijn ‘verontwaardigd’ over PRISM, maar hier in Nederland worden per hoofd van de bevolking meer telefoons afgetapt dan elders. Ook kun je vraagtekens zetten of dergelijke praktijken niet in strijd zijn met de grondwettelijke bescherming van de levenssfeer van het individu. Dan is het niet zo moeilijk om sympathie te voelen met een beveiligingsexpert die een slippertje maakt.

  • Profielfoto
    csteelooper

    UPDATE:

    developer.apple.com

    Apple Developer Update

    We apologize for the significant inconvenience caused by our developer website downtime. We’ve been working around the clock to overhaul our developer systems, update our server software, and rebuild our entire database. While we complete the work to bring our systems back online, we want to share the latest with you.

    We plan to roll out our updated systems, starting with Certificates, Identifiers & Profiles, Apple Developer Forums, Bug Reporter, pre-release developer libraries, and videos first. Next, we will restore software downloads, so that the latest betas of iOS 7, Xcode 5, and OS X Mavericks will once again be available to program members. We’ll then bring the remaining systems online. To keep you up to date on our progress, we’ve created a status page to display the availability of our systems.

    If your program membership is set to expire during this period, it will be extended and your app will remain on the App Store. If you have any other concerns about your account, please contact us.

    Thank you for your continued patience.

    Op het moment dat ik keek waren iTunes Connect en de Bug Reporter weer on-line; overige services nog niet.

    Misschien iets om toe te voegen aan het artikel, anyone?

  • Profielfoto
    Dutch_Muscle

    Ik ga denk ik maar een ram kraak doen bij de plaatselijke pin automaat en verklaar me vervolgens onderzoeker die de veiligheid van pinautomaten inspecteert.

    pffff. Niet iedereen is naĂŻef hoor.

    Als je echt wat om je veiligheid geeft, stop dan meteen met iCloud, facebook en gmail. Zo simpel is het.

  • Profielfoto
    XaRaI_001

    Conclusie: zo zie je maar weer, internet en ‘the cloud’ is nooit veilig!