The Verge сообщает, что система входа в Apple ID была скомпрометирована, и пароли могут быть сброшены, используя только адрес электронной почты пользователя и дату рождения. Пользователи, которые активировали новую систему двухэтапной проверки, не затронуты взломом.

Нам стало известно о пошаговом руководстве (которое остается доступным на момент написания), подробно объясняющем, как использовать эту уязвимость. Эксплойт включает в себя вставку измененного URL-адреса при ответе на вопрос безопасности о дате рождения на странице Apple iForgot. Это процесс, который практически любой может выполнить, и The Verge лично подтвердил очевидную дыру в безопасности.

Из соображений безопасности пользователей The Verge не предоставил никакой информации о том, как выполнить взлом, а Apple публично не комментировала эту проблему.

Пользователи, которые пытались активировать двухэтапную проверку, но находятся в трехдневном периоде ожидания, *подвержены* атаке, и обеспокоенные пользователи могут войти в свои учетные записи Apple ID и изменить свою дату рождения на что-то, что сложнее угадать.

Система двухэтапной проверки для учетных записей Apple ID была представлена вчера, и она должна предоставлять пользователям последовательность входа, которую практически невозможно взломать для того, у кого нет физического доступа к устройствам пользователя.

Обновление 1:29 PM: Apple отключила систему сброса паролей iForgot.

Обновление 8:48 PM: Система iForgot от Apple снова активна, и iMore подтвердил, что проблема устранена.