Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 74, views: 28.741 •
Submitter: Obbut

Een hacker heeft toegang gekregen tot de ontwikkelaarssite van Apple, zo heeft het bedrijf bekendgemaakt. Mogelijk heeft de aanvaller toegang gekregen tot naw-gegevens en e-mailadressen van ontwikkelaars. Hoe de aanvaller is binnengekomen, is onduidelijk.

Apple logoIn een verklaring op de voorpagina van de ontwikkelaarssite stelt Apple dat gevoelige persoonsgegevens niet toegankelijk waren voor de aanvaller, maar dat namen, adresgegevens en e-mailadressen wel toegankelijk waren. De aanval vond afgelopen donderdag plaats; Apple zegt de ontwikkelaarssite direct daarna offline te hebben gehaald.

Zondag werd bekend dat ontwikkelaars de afgelopen dagen last hebben van password reset-meldingen, zonder dat ze daar om hebben gevraagd. Dat duidt erop dat in ieder geval een deel van de e-mailadressen van ontwikkelaars inderdaad is uitgelekt, en dat de aanvaller toegang probeert te krijgen tot die accounts.

Wanneer de ontwikkelaarssite weer online zal zijn, is niet bekend. Apple zegt zijn ontwikkelaarssite op de schop te gooien om te voorkomen dat een aanval zich weer kan voordoen. "We bieden onze excuses aan voor de overlast en hopen de website snel weer online te hebben", aldus het bedrijf. Ontwikkelaars van wie het betaalde ontwikkel-account zou verlopen tijdens de downtime, hoeven zich geen zorgen te maken: hun abonnement is verlengd en hun apps blijven in de App Store staan, benadrukt het bedrijf.

Update, 08:04: In een reactie tegenover The Next Web claimt een beveiligingsonderzoeker dat hij achter de aanval zit. Hij zegt geen kwade bedoelingen te hebben gehad, hoewel hij erkent de gegevens van 100.000 ontwikkelaars te hebben bemachtigd. Hij zou Apple zelf hebben benaderd over de dertien beveiligingsproblemen die hij in de ontwikkelaarssite ontdekte, en zegt geïrriteerd te zijn dat Apple zijn poging tot helpen als een inbreuk op de beveiliging ziet.

Reacties (74)

Zal wel persoonlijk zijn, maar wat mij betreft is er wel gevoelige informatie gelekt.
Zal wel persoonlijk zijn, maar wat mij betreft is er wel gevoelige informatie gelekt.
Nee, dat is niet persoonlijk, je hebt helemaal gelijk. Maar Apple en andere bedrijven zien dat anders. Zij zien Credit Card gegevens, geboorte-data en dat soort dingen als gevoelige informatie, omdat je met alleen een e-mailadres, NAW en naam veel lastiger toegang kan krijgen tot een account. Maar het is niet onmogelijk....
Gevoelige informatie in het bedrijfsleven betekend informatie waarmee het bedrijf geld kan verdienen en heeft helemaal niks met jouw privacy te maken.

En gezien de grote bedrijven zich allemaal perfect volgens de wet hebben ingedekt kan je er ook niks tegen beginnen.

Niet alleen Apple maar ook andere bedrijven zouden sneller en strenger gestraft moeten worden voor het lekker van privacy gevoelige informatie.
Ze hebben vaak gegevens nodig om transacties te kunnen verrichten.

Maar de hacker hoort gewoon van de gegevens af te blijven, het zijn namelijk niet zijn gegevens. Dat die Apple inlicht dat is wel een goede zaak.

Maar goed ik heb het al eens vaker gezegd, de ontwikkel talen voor de web zijn gewoon een puinhoop. Zolang er niks beters komt blijven dit soort situaties zich voor doen.
Heeft niets met de talen te maken maar met het gebruik ervan. Ontwikkelaars laten vaak gaten vallen en projecten staan onder druk wat te koste gaat van kwaliteit / testen edg. Gebeurd overal dagelijks.
Als het puur tijdsdruk de oorzaak is dan moet je dat heel duidelijk kenbaar maken i.v.p dingen proberen af te krijgen die niet haalbaar zijn en ruimer gaan inplannen.

Maar er zitten ook nog veel ogen en haken aan web talen. Ten eerste al je meerdere talen nodig hebt welke ook nog op veel gebieden niet goed op elkaar aansluiten. Je kan veel beter 1 taal hebben die het geheel omvat en goed op elkaar aansluit.
Ik weet niet hoe bekend deze gast is, maar schijnbaar is het een 'security researcher'. Dit is een tweet die veel rond gaat in de developer lists van Twitter:

https://twitter.com/ibrahimbalic/status/359110493622898688

Inclusief Youtube video van wat hij aan het doen is blijkbaar.
Vermoedelijk iemand die gewoon aandacht aan het trekken is. Niet echt professioneel om als "security researcher" zoveel informatie te lekken als dat er in het filmpje gebeurd. Daarnaast bestaan de eerste e-mail adressen in het filmpje niet eens..

Ben wel benieuwd wat het foutje in de beveiliging bij Apple was en hoop dat ze dit snel hebben opgelost.
Nou noem het maar geen foutje, maar als ik dit artikel mag geloven gaat het op dit moment al om 13 fouten in 1 website.
Hoezo lekken? Hij heeft de gegevens toch nergens gepubliceerd? Hij laat enkel wat random samples zien.
Hij schijt gewoon in zijn broek nu en veranderd het snel naar een security research verhaal. Rrrrright

Stel je voor je komt thuis en er loopt een inbreker in je huis. Zegt die ja ben alleen maar je beveiliging aan het testen. Die dure spullen die al in me busje zitten kom ik straks allemaal weer terug brengen. Dan zeg jij: Oh bedankt hier heb je 100 euro. Wist niet dat me huis niet veilig is.

[Reactie gewijzigd door ro8in op 22 juli 2013 09:21]

Dat is het hele probleem met white-hat hackers, het is achteraf moeilijk te checken.

Als het verhaal inderdaad waar is dat hij het al meerdere malen bij Apple heeft aangekaart, dan draagt dat wel bij aan z'n betrouwbaarheid. Maar als dit niet het geval is neig ik ook meer naar het veranderen van je verhaal om eventuele vervolging te voorkomen.
het verschil is alleen, dat in dit geval de inbreker je dure spullen alleen heeft gekopieerd en de kopieŽn meeneemt. je bent dus niet beroofd, in het ergste geval een stukje vandalisme en inbraak..
nu ik er zo over nadenk, is dat nog steeds niets om blij van te worden
Is het wel alleen gebleven bij de ontwikkelaarssite? Heb namelijk geen developer account maar de afgelopen dagen heb ik een stuk of 9 e-email gehad voor een password reset. En blijkbaar ben ik niet de enige met dit probleem.
Copy-cats wellicht? Er zijn vast wel spam houses die meeliften op de Apple Storing (waarom kreeg je de mail pas 2 dagen na de shutdown bijvoorbeeld?)
Maar buiten wat namen, adresgegevens en e-mailadressen niks meegenomen ? Dan vraag je je af wat voor een doel de hacker had. Op een ontwikkelaarssite moet toch wel intressante info te halen zijn...

@JeroenC : dat was pas na de update ;)

[Reactie gewijzigd door bonus op 22 juli 2013 09:28]

Als dit artikel klopt, dan staat jou antwoord erin:
Hij zou Apple zelf hebben benaderd over de dertien beveiligingsproblemen die hij in de ontwikkelaarssite ontdekte, en zegt geÔrriteerd te zijn dat Apple zijn poging tot helpen als een inbreuk op de beveiliging ziet
Ook staat erboven dat hij: security researcher is.

Ik vind het maar zeer vreemd van Apple, dit is net een kruispunt situatie:
Bestuurder A heeft groen licht en steekt dus over, dan heb je bestuurder B die volledig door rood rijd, en bestuurder A aanrijd. Met als gevolg dat bestuurder B boos is op bestuurder A.
Dit lijkt de omgekeerde wereld wel.
Apple is in dit geval fout, maar schuift de schuld door naar iemand anders.... Moet niet gekker worden hť.

[Reactie gewijzigd door JeroenC op 22 juli 2013 08:27]

een echte goeie "beveiligingsonderzoeker " jat geen 100.000 gegevens maar plaats 100.000 masteregg }:O

misschien was daarom apple zo geÔrriteerd. anders ik wel
Of je nou je deur wel of niet op slot hebt gedaan, inbreken blijft stafbaar...
Het lekken van privacy gevoelige informatie is ook strafbaar.

Dus, om even in jou metafoor te blijven, als iemand die aan jou deur zat om te kijken of die open is, en jou er op wijst dat die deur niet op slot zit, is die dan ook gelijk een inbreker ?
Wel als hij naar binnen loopt en mijn complete stereo-installatie meeneemt en me dan vertelt dat mijn deur open staat. Dan ben je nog steeds een inbreker, of ik het je makkelijker heb gemaakt of niet.
Dat ligt eraan hoor. Indien de politie geen inbraak sporen vind (deur open of wat dan ook) is er volgens de politie geen spraken van inbraak maar een geval van eigen schuld dikke bult. En dat zal de inboedel verzekeraar vervolgens ook zeggen..
Jou teveel gebruikte voorbeeld is gewoon onjuist.

Indien de persoon bij jou na binnenloopt en met je tv naar buiten, jij bent de kluts kwijt als je thuis komt. Vervolgens belt meneer je op en zegt ik heb je tv, breng hem zo. Is het egoÔstische om hem van inbraak te beschuldigen, hij kan de goede bedoeling hebben jou iets te leren van je eigen fouten.
Wanneer je tv vervolgens op marktplaatst staat zou ik wel link worden maar zou volgens de wet niks mogen doen.

[Reactie gewijzigd door JeroenC op 22 juli 2013 09:28]

Dat is onjuist. Je denkt toch niet dat als iemand zijn autodeur open laat staan en de sleutels in de ontsteking laat zitten dat een willekeurige passant de auto mag meenemen?

Dat geldt ook voor het betreden van het huis. Als jij je voordeur open laat staan - om wat voor reden dan ook - en iemand loopt naar binnen, is dat nog steeds huisvredebreuk. Neemt hij een toestel mee, is dat diefstal.
Verkoopt hij dat toestel voor §50 aan iemand anders is dat persoon nog steeds schuldig aan heling.

Mooi verhaal: "Oh, maar u heeft uw voordeur open laten staan?" "ja, sorry, maar dan gaan we niet vervolgen, zoekt u het maar uit".
Dat je verzekering niets uitkeert is logisch, je had ook net zelf die spullen weg kunnen nemen. Maar als jij kunt bewijzen dat jouw spullen op Marktplaats staan.

Dat jouw voordeur openstaan en iemand daarmee toegang heeft gekregen betekent niet dat hij daarmee carte blanche heeft om jouw huis leeg te halen en dat later te gaan verkopen/gebruiken.
Imo ben je dacht ik gewoon strafbaar als je jouw auto met de deuren open laat en de sleutels erin......uitlokking, gelegenheid maakt de dief.
In geval van een draaiende motor erbij krijg je er zeker een bekeuring voor. (Feitcode p F 133, 45 euro boete
Een motorvoertuig , bromfiets of fiets op of aan de weg laten staan, anders dan deugdelijk afgesloten of onder behoorlijk toezicht. APV/PLV feitje, wet Mulder))

Voorbeelden genoeg waar de gauwdief hier gebruik van maakt, zelfs onbeheerde politieauto`s met sleutels erin worden gecarjackt.
De verzekering keert dan ook niets uit, net zoals bij open huizen en andere zaken waarbij eea op een dienblaadje aangeboden wordt..

Helaas verkeren velen hier in de veronderstelling dat we in de perfecte samenleving wonen waar je alles open mag laten en over de rooie mag gaan als iemand je dan benadeelt of je duidelijk maakt dat je de boel wel op slot moet doen.

Get real people!
Feit is dat alles tegenwoordig te hacken is, zelfs scriptkiddes kunnen dit met de beschikbare tools tegenwoordig, en het feit is dat de grote firma`s tegenwoordig direct de hacker vervolgen met brute kracht om hun eigen falen te verdoezelen.
Als je 13 (!) bugs vindt in een (gerenommeerde developers-)website en dit meldt hoor je niet als black hatter afgeschilderd te worden.Apple zou hem eerder dankbaar moeten zijn want iedereen kon bij die gegevens.
Nee, Apple Inc. en alle Applegebruikers spreken er schande van.......hoe naÔef. (Ik lees zelfs dat Apple zelf wel de beveiliging kan laten checken en dat daarom dit soort white hatters onwenselijk zijn, ook zo naÔef want die gaten zaten er toch maar al tijden, ondanks Apple`s experts)
Ondertussen blijken de gaten groot genoeg om toch de site al dagen helemaal offline te halen..........klachten alom van developers over die #$%@& Balic want het is zijn schuld......, en die ondertussen vergeten dat hun gegevens dus al tijden op straat lagen.

Of is iedereen ook zo tegen het wereldkundig maken van de grote internet-afluisterschandalen door overheden (en wie meer) door Snowdon?
Of let je nu toch wat meer op wat je op internet uithaalt?

Publiciteit is vaak het laatste middel om je punt duidelijk te maken als al het andere faalt en jij de Zwarte Piet toebedeelt dreigt te krijgen......

[Reactie gewijzigd door Teijgetje op 22 juli 2013 13:00]

Klopt helemaal, de politie heeft dit ook al gedaan. Dieven willen lokken met een laptop op de achterbank zichtbaar te leggen met het raampje open. Alles werd door de rechter geseponeerd wegens uitlokking. Dit is allesinds in belgiŽ het geval.
Alle Apple gebruikers spreken er niet schande ervan, ik denk dat niemand voor een ander hoeft te spreken.

En logisch Apple zelf de beveiliging en controle erop zelf regelt en niet door een white hacker. Immers hebben ze te maken met klant gegevens en daar laat je niet iedereen zomaar tot toe.

Als je de developer website van Apple kent dat weet je dat deze behoorlijk technisch in elkaar zitten (het is niet een wordpress pagina).

Je kan wel allerlei doom/conspiracy scenario's er naar toe halen maar er is werkelijk geen enkel bedrijf die dit soort zaken 100% dicht heeft en iedereen kan het overkomen dat je iets over het hoofd hebt gezien. Whitehackers zijn ook niet zo bijzonder, dat kunnen net zo goed script kiddies zijn sterker nog webtalen zijn scripttalen.

Ik denk dat je commerciŽle ontwikkeling beetje door elkaar haalt met hobby ontwikkelingen.

[Reactie gewijzigd door BoringDay op 23 juli 2013 13:44]

Maar dat wil toch nog steeds niet zeggen dat de inbreker goed bezig is? Niet alles wat de politie niet strafbaar stelt is goed...

En op je tweede alinea: Hij heeft blijkbaar de spullen niet terug aangeboden aan Apple, maar hij heeft Apple gewezen op de beveiligingsfouten. Er is daarna nog wat met de data gebeurd, want anders krijgen mensen geen berichten dat hun account van een andere computer is geprobeerd te bereiken.

De 'onderzoeker' is dus het huis binnengelopen terwijl de deur op een kier stond, heeft de tv meegenomen, en daarna tegen de bewoner gezegd "je deur staat open, misschien is het beter die dicht te doen". Dan heb je toch nog steeds spullen gejat die niet van jou zijn?
Bij ons is een paar jaar gelden ingebroken. En toen werd ons vertelt dat we geluk hadden dat we een extra slot op de serre deur hadden, anders waren we niet verzekerd(hadden alleen inbraak). En dat voor inbraak zeker een slot of raam moet ingetikt zijn.
Is er geen inbraak, maar de deur was open. Is het gewoon diefstal en kun je ook voor verzekerd zijn. Is wel een groot verschil voor jezelf, politie en de verzekering. Alles kwijt en niks terug krijgen. Of toch een vergoeding krijgen. Of ergens neit voor verzekerd zijn.

Ook voor berechting is het beter, want ergens even iets pakken of echt gaan inbreken is toch een verschil. En die dingen vind je niet op marktplaats, die worden in verschillende pandjeshuizen/tv winkeltjes verkocht. En bijv* de trouwring van me overleden vader word zonder pardon gesmolten voor een paar euro.

Snap maar niet dat jij denkt dat het een eigen bult verhaal. Het is inderdaad geen carte blanche voor de dief. Zou ook niet goed zijn. In schuren bij verzekerde boeren word ook vaak spullen gestolen.(dieven weten dit ook en komen hier 3 maanden later weer) Hier wordt ook gewoon uitgebreid onderzoek gedaan met gips en de hele mik mak. En voor zo'n openstaande schuurtje is boer gewoon verzekert mits de juiste verzekering is afgesloten.

[Reactie gewijzigd door luqa1337 op 22 juli 2013 11:17]

Juridische term : Insluiping

Het onbevoegd en zonder verbreking of geweld betreden van een gebouw, soms gelijkgesteld met inbraak.
http://www.encyclo.nl/begrip/Insluiping
zonder -sporen van braak- geen -inbraak-... (en dus ook geen inbreker)
Als een inbreker betrapt wordt, je telefoonboek kopieert, en dan maar verklaart als alibi dat hij slechts keek of je deur op slot zat, wat dan?

Dit artikel gaat over een hacker met spijt, en een slechte alibi.

Edit: Correctie betreft slechte alibi, hij claimt de data ook niet gejat te hebben.
Interresant .. toevallig dat tegelijk wťl een hack is. Hij zal de aanvalsvector wel in het verkeerde chatkanaal besproken hebben zeker..?! Jammer ook dan heeft hij informatie gelekt, maar of zoiets strafbaar is?

[Reactie gewijzigd door Barryke op 22 juli 2013 09:25]

Vroegah, heb ik stage gelopen bij een internet security bedrijf. Ze hadden daar contracten voor grote en bekende bedrijven. Alvorens ik, onder sterk toezicht, aan de slag mocht met wat simpele taken moest ik een NDA tekenen.

Kortom, of het strafbaar is ligt er denk ik aan of hij zoals hij zegt ook daadwerkelijk werkte onder opdracht van Apple en of hier ook een NDA voor besproken is. Als er geen NDA is en wel een opdracht dan is het niet zonder meer strafbaar - misschien dat Apple toch een stokje steekt en het ergens op kan gooien.
Het lekken van gegevens kan allerlei oorzaken hebben. En het is ook wel bekend dat web-talen niet bepaald goed in elkaar zitten. En een vreemde hoeft idd niet te checken of je deur op slot zit ... zal niet best zijn als elke malloot daar gaat op letten of je deur dicht is.
Jep, maar soms de enige manier om je punt te maken :)
Probeer maar eens bij je verzekering aan te kloppen als bankmanager als je altijd de deur en de kluis laten open staan.
zonder -sporen van braak- geen -inbraak-...
security researchers worden ingehuurd, vanaf dat je dit zelf op vrijwillige basis begint te doen, ben je fout bezig.

Dit is iets helemaal anders dan per ongeluk een foutje ontdekken en dat melden.
We hebben te weinig informatie om te oordelen.

Uiteraard probeert Apple zich hier keihard uit te draaien. En aangezien Apple toch een iets groter PR-kanaal heeft loop je misschien wel met open ogen in een door hun in elkaar gezette verklaring om zelf absoluut niet schuldig te lijken.

Verhaal heeft heus wel meerdere kanten
Ik zie niet hoe Apple zich hier keihard uit aan het draaien is. Ze hebben toch gewoon gezegd dat ze gehackt zijn? Ze wijzen niemand aan, behalve zichzelf.

En die verklaring is gewoon van een aandachtstrekker.

Anders had Apple wel gezegd dat niks gelekt was. Het is al behoorlijk erg dat naw gegevens weer eens op straat komen te liggen.

[Reactie gewijzigd door SoloH op 22 juli 2013 11:53]

de site ligt er al sinds donderdag uit, vind jij het niet beetje laat om de maandag er na pas aan je gebruikers aan te geven dat er een hack plaats gevonden heeft? geen updates, niks van zich laten horen en zeker 4 dagen later pas aan komen met hack nieuws is jezelf toch wel proberen er uit te draaien.
Ik zie dat niet zo. Vrijwel alle bedrijven doen dit op deze manier na een hack. Denk aan Sony. Ze moeten toch eerst de tijd nemen om het te kunnen onderzoeken.
Sommigen denken dat je het probleem binnen een uur vind en dan ook nog alles volledig gechecked hebt en bijgewerkt ....

Ze moeten idd eerst onderzoek kunnen verrichten en de feiten naar voren weten te halen voordat men uitspraak kan doen.
De reactie van de beveiligingsonderzoeker is gewoon onderdeel van de "damage control" campagne van Apple. Met veel bombarie naar buiten brengen dat het om een onderzoeker ging die geen kwaad in de zin had en de aandacht afleiden van het echte probleem. Nu weet iedereen dat informatie niet in handen is gevallen van kwaadwillenden en praat iedereen over de houding van Apple tegenover de onderzoeker ipv over het feit dat er een lek is geweest. Straks biedt Apple openlijk zijn excuses aan naar de hacker en is de zaak afgedaan.

Dat is een standaard truck die eigenlijk altijd wordt uitgevoerd bij de grote bedrijven.

[Reactie gewijzigd door dsdevries op 22 juli 2013 10:55]

Er is geen houding tov de onderzoeker. Apple heeft niets naar buiten gebracht betreffende deze persoon. Dat maken jullie er allemaal van.
"...stelt Apple dat gevoelige persoonsgegevens niet toegankelijk waren voor de aanvaller, maar dat namen, adresgegevens en e-mailadressen wel toegankelijk waren."

Beetje krom, naar mijn mening zijn dit juist gevoelige persoonsgegevens, toch?
Apple bedoelt met gevoelige gegevens bijvoorbeeld creditcard gegevens, of code van apps, of data die apps hebben verzameld.

http://www.loopinsight.co...s-on-developer-site-hack/
Echt gevoelig is dat niet meer. Jouw gegevens zijn al via een app als wazzapp verspreid. Of Facebook, of noem maar op welke sites allemaal niet gehackt zijn. Hoeveel webshops zouden al niet stilletjes gehackt zijn?
Hier de video van de beveiligingsonderzoeker die claimt dat hij geen hacker is:
https://www.youtube.com/w...mbedded&v=q000_EOWy80
Een beveiligsonderzoeker is per definitie een hacker lijkt me.
Zag de melding tot bevestigen van de wijziging binnen komen. Heb het maar genegeerd dacht dat phising was
15 juli was die melding
De melding in mailbox tot bevestigen van de wijzigen was op 15 jullie.
Eerst het Ubuntu forum en nu dit. Een mens wordt hier niet vrolijk van.
geen kwade bedoelingen, maar ondertussen in je filmpje gegevens van developers in plain text weergeven.

yup

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013