Сегодня рано утром независимый специалист по безопасности Ибрагим Балик предположил, что он может быть причастен к нарушению безопасности, которое вызвало длительный сбой в Центре разработчиков Apple, недоступном с конца прошлой недели.

Несмотря на заявление Балика о том, что он сообщил о своих находках напрямую Apple и не намеревался действовать злонамеренно, информация, которую он предоставил в интервью изданию TechCrunch, указывает на несколько сомнительное поведение.

Балик, сообщивший Apple о 13 различных ошибках, первоначально обнаружил уязвимость в iAd Workbench 18 июня, которая позволяла манипулировать запросами, отправляемыми на сервер. Эта лазейка могла быть использована для получения имен и адресов электронной почты пользователей iTunes (даже не разработчиков). Обнаружив лазейку, Балик написал скрипт на Python для сбора данных из уязвимости, а затем продемонстрировал его в видео на YouTube, что могло привлечь внимание Apple.

Помимо ошибки в iAd Workbench, Балик также обнаружил и отправил отчет об ошибке, которая делала сайт Центра разработчиков уязвимым для атаки типа «хранимый XSS». Хотя Балик утверждает, что он мог получить доступ к пользовательским данным, эксплуатируя проблему в Центре разработчиков, он заявляет, что не делал этого. По данным TechCrunch, видео Балика на YouTube (которое с тех пор было удалено) содержало полные имена и адреса электронной почты, и неясно, откуда они были получены.

Жаль только, что видео выглядело столь убедительно: показав изображения неработающего Центра разработчиков Apple и официальный ответ компании, Балик затем предъявил множество файлов, которые, казалось, содержали полные имена и адреса электронной почты. Это кажется довольно уликой, но Балик утверждает, что он никогда не атаковал напрямую сайт Центра разработчиков, и вся эта пользовательская информация, которую он выделил, была из iAd Workbench. Две отдельные ошибки проложили путь к одному очень запутанному видео.

Балик утверждает, что он собрал данные о 73 сотрудниках Apple и 100 000 других пользователях iTunes, но говорит, что он не использовал эксплойт для Центра разработчиков, о котором он впервые сообщил 16 июля, а получил данные из уязвимости iAd Workbench.

TechCrunch сообщает, что данные, полученные Баликом (ограниченные адресами электронной почты и Apple ID), могли поступить с учетных записей не разработчиков, хотя Apple ясно заявила, что были затронуты только учетные записи разработчиков.

На протяжении всего нашего разговора Балик настаивал на том, что он всегда старался помочь Apple. Когда его спросили, почему он скачал все эти пользовательские данные, а не просто сообщил об ошибке, Балик сказал, что он просто хотел посмотреть, насколько «глубоко» он может проникнуть. Если бы он хотел причинить вред, по его словам, он бы не сообщил обо всем, что нашел. Для справки, он также говорит, что никогда не пытался сбросить пароли кому-либо — самое большее, что он сделал, это написал на один из адресов, который он обнаружил, и спросил, действительно ли это Apple ID этого человека. Балик не получил ответа.

Из-за неопределенности источника имен и адресов электронной почты, показанных в видео Балика, неясно, вызвал ли он сбой в Центре разработчиков, манипулируя ошибкой в iAd Workbench, и столь же неясно, каковы были его намерения.