Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple negeerde melding van vrouw die Facetime-bug als eerste rapporteerde

Apple heeft een Amerikaanse vrouw afgewimpeld die een video en beschrijving stuurde van de bug in Facetime die eerder deze week naar buiten kwam. Zij kreeg het advies om eerst een ontwikkelaarsaccount aan te maken en vanuit daar een bugreport aan te melden.

De vrouw, een advocaat uit de staat Arizona, probeerde van alles om Apples aandacht te trekken voor de bug. Behalve veel mails naar Apples supportafdeling verstuurde ze een openbare tweet naar @AppleSupport en eentje naar Tim Cook. Ook verstuurde ze brieven met het logo van haar werkgever en probeerde ze de Amerikaanse tv-zender Fox News te benaderen.

Haar 14-jarige zoon vond de bug toen hij een vriend probeerde te bellen via FaceTime om een potje Fortnite te spelen. Zij probeerde vervolgens de truc te reproduceren en toen dat op meerdere iPhones van gezinsleden lukte, besloot ze Apple in te lichten. Daarbij maakte ze ook een video om de bug toe te lichten.

Apple had de mail gekregen en antwoordde dat ze de bug kon indienen door een ontwikkelaarsaccount aan te maken en een bugreport in te vullen vanuit de ontwikkelaarsomgeving. Een week later ondernam Apple wel snel actie toen de bug op 9to5Mac verscheen op basis van informatie van een ontwikkelaar. Groepsbellen via Facetime is tijdelijk offline en Apple heeft een fix beloofd die later deze week moet uitkomen. Apple heeft nog niet gereageerd op het verhaal van de vrouw, die haar relaas onder meer doet in The New York Times. Een lokale tv-zender interviewde de tiener over het ontdekken van de bug.

De bug maakte het mogelijk om van elke iPhone, iPad of Mac die groepsgesprekken op Facetime ondersteunt de audio af te luisteren en video te zien. Dat gebeurde door tijdens het laten overgaan van een privégesprek er een groepsgesprek van te maken door het eigen telefoonnummer toe te voegen. Daardoor stuurt de ontvangende iPhone, iPad of Mac direct live audio of video door, zonder dat de ontvanger het gesprek eerst opneemt of weigert.

Still uit de video van KOLD News 13

Door Arnoud Wokke

Redacteur mobile

30-01-2019 • 19:38

190 Linkedin Google+

Reacties (190)

Wijzig sortering
Nou is het aanmaken van een ontwikkelaar account niet echt spectaculair te noemen. Mevrouw heeft wel heel veel moeite gedaan voor aandacht maar het aanmaken van die account ging blijkbaar te ver?
Creating an Apple developer account
Step 1: Visit developer.apple.com.
Step 2: Click Member Center.
Step 3: Sign in with your Apple ID.
Step 4: On the Apple Developer Agreement page, click the first check box to accept the agreement and click the Submit button.
Apple zal de bug onderschat hebben, wellicht de video niet eens bekeken. Maar dit is gewoon de normale weg van bugs bij apple melden.

[Reactie gewijzigd door itsme op 30 januari 2019 20:05]

Je kunt het wel bagatelliseren maar het zou niet nodig moeten zijn een ontwikkelaarsaccount te maken voor een bug reports.
Niet mee eens. als je totaal geen barriere opwerpt krijg je alle zooi van mensen binnen die niet weten wat een bug is. Die klagen dan dat een website niet opent, of e-mail niet verzonden is.
Ik zie vaak dat bugreports erg slecht onderbouwd zijn, zowel in titel als omschrijving. Mensen gaan er op één of andere manier vanuit dat als ze schrijven: titel> website kapot 'deze knop werkt niet' , jij als ontwikkelaar dan precies weet om welke knop het gaat. Nu kan je met gegevens verzamelen best een hoop te weten komen, maar voor complexere zaken zoals dit wil je wel dat voldoende uitleg bij is. Van iemand iemand die bekwaam is.
Apple had er anders mee om kunnen gaan, en zij ervoor kunnen kiezen om niet de publiciteit te zoeken - maar aan de andere kant 'public shaming is het enige dat ze nog iets lijkt te schelen, als je iets gedaan wilt krijgen'. Als t bij de juiste persoon op de agenda komt, is t vaak in een paar dagen gefixt.
Dus ik geef haar geen ongelijk. Maar je mag wel iets verwachten van de mensen die een bug willen melden.
Sorry, maar hier ben ik het totaal niet mee eens.
Je hébt het al gemaild, ze hebben het ontvangen. Dan zeggen ze 'we gaan uw mail wel lezen, als u eerst even op wat knopjes gaat drukken'. Dat is de omgekeerde wereld natuurlijk.
En Apple krijgt hoe dan ook veel mailtjes en belletjes om support en met vragen, daar verandert dit niks aan.

Nog sterker? Iemand belde een keer de huisarts en sprak met de assistente. De situatie was best ernstig, wellicht had 112 gebeld moeten worden. Maar wat zegt de assistente? 'Hiervoor moet u de spoedlijn bellen'. Dus hangt op en belt de spoedlijn. Wie neemt er op? Uiteraard exact dezelfde persoon... En toen stuurde ze alsnog een ambulance.
Ik neem aan dat een dergelijke triagist op staande voet is ontslagen?

Hoewel ik met je eens ben dat ze best eerst het volledige bericht hadden kunnen lezen boordat ze dit zouden terugsturen moet ik het er ook mee eens zijn dat je dit soort dingen wel via de gangbare ticketsystemen wil laten lopen Juist zodat je weet dat men dit serieus neemt. En daarnaast tweets en mailtjes komen alleen bij eerste lijns “hoogstens”. Je wil juist bugreporting gebruiken omdat dit bij tweede en soms zelfs direct derdelijns support uitkomt.

[Reactie gewijzigd door supersnathan94 op 31 januari 2019 00:03]

Eens, maar de taak van de klantenservice moet altijd zijn om deze melding dan namens de klant in het juiste systeem over te zetten. Dat zit ook in het woord, klantenservice. Terugverwijzen en de klant voor je karretje spannen, mag nooit.
Als de overheid dit doet, roept iedereen kastje en muur en moord en brand maar bij Apple lijkt een aantal mensen dit prima te vinden. Klantenservice hoort de vertaler te zijn tussen (de systemen van) de interne organisatie en de klant, niet het klantopvoedingscentrum.
Hier ben ik het wel mee eens. Dat bedoelde ik met Apple had het anders moeten doen, maar de optie om alle eerstelijns als 2delijns te behandelen voor een bedrijf met miljoenen gebruikers, is niet realistisch.
De eerstelijn moet het serieus nemen, en de persoon in kwestie helpen om dit te formuleren. Als zo'n klant dan vertikt om dat te doen, ja dan houdt het even op. Dat mag je dan ook aankaarten in de media als verweer.
Ik ben benieuwd hoe je uit
Iemand belde een keer de huisarts en sprak met de assistente.
Iemand belde een keer 112 en sprak met de assistente.
haalt? :P Mijn huisarts heeft geen 112 als telefoonnummer...
Ik ben benieuwd hoe je uit

[...]


[...]

haalt? :P Mijn huisarts heeft geen 112 als telefoonnummer...
er stond oorspronkelijk:
Nog sterker? Iemand belde een keer de huisarts en sprak met de assistente. De situatie was best ernstig, wellicht had 112 gebeld moeten worden. Maar wat zegt de assistente? 'Hiervoor moet u de spoedlijn bellen'. Dus hangt op en belt de spoedlijn. Wie neemt er op? Uiteraard exact dezelfde persoon... En toen stuurde ze alsnog een ambulance.
Daar maakte ik uit op dat de tweede keer de spoedlijn 112 was gebeld.

Het zou natuurlijk kunnen zijn dat een huisarts een aparte spoedlijn heeft... Die van mij niet, daar krijg je te horen 'kies 1 voor spoed'. Maar goed, als het de huisarts-assistente was en de eigen spoedlijn, dan zou het inderdaad bijzonder zijn. Ik ken iemand die een kind met een acute reactie op peulvruchten had, en toen was het advies van de assistente 'bel 112' en toen kwam er een ambulance. Dat was wat ik zou verwachten - dat 112 de ambulances aanstuurt, niet de assistente van een huisarts.

[Reactie gewijzigd door monotype op 31 januari 2019 17:04]

Dit was wel een serieuze bug die iemand per ongeluk ontdekte. Het gaat hier niet om een ontwikkelaar en kennelijk wil zij daar ook niet mee gelijk gesteld worden. De manier waarop de bug is gemeld gaat misschien buiten de normale weg om, maar is wel dusdanig serieus dat hier een gepaste actie op had moeten volgen. Bij het uitblijven van een reactie van Apple lijkt het mij helemaal niet gek dat je een andere weg zoekt waarmee je het probleem aan de kaak stelt. Dat dit niet helemaal volgens de "regels" van Apple is kan ik me voorstellen. Mevrouw was immers geen developer en wilde (om wat voor rede dan ook) ook geen developer-account aanmaken. Dat is toch haar goed recht?
Binnen de ontwikkelaars omgeving zitten de engineers mee te lezen.
Als je een bug bij apple support in schiet kunnen ze er eigenlijk niet zo veel mee.

Support zitten niet de mensen die betreffende bugs ook kunnen analyseren en kunnen inschatten wat dit inhoud.
Daarnaast als je bugs bij support zou laten afhandelen hoeveel false positives zal je om je oren krijgen.
je hebt wel een minimale barrière nodig om mensen weg te houden maar wel zo laag dat bij een echte bug je dit wel makkelijk zou kunnen melden.
Dat is toch onzin?
De support afdeling krijgt een klacht binnen. Maar kunnen niet helpen omdat het een bug is? Ik werk bij een software bedrijf. Als wij op support of via sales of welk kanaal dan ook een bug binnenkrijgen, kunnen wij intern dit altijd in het bug/dev systeem melden. Het is niet meer dan een supportcase aanmaken, controleren of het reproduceerbaar is en dan doorzetten.

Je kunt toch niet van je klanten verwachten dat ze eerst een dev-account aanmaken?
Jups. Bij kleinere bedrijven prima te doen. Vergeet niet dat ms en Apple en andere grote ontwikkelaars die ook aan consumenten verkopen miljoenen gebruikers hebben. Support afdeling wil je niet belasten met bug meldingen.
Waarom zou je dat niet willen?
De supportdesk kan ook bij hen toch gewoon een ticket aanmaken om te laten onderzoeken?
Juist de supportdesk kan een voorselectie doen hoe belangrijk een bug is.

De supportdesk van Microsoft en Apple helpen consumenten toch al nauwelijks bij "ik weet niet hoe ik x moet doen"-vragen. Dus blijkbaar zitten ze er voor de wat lastigere dingen. In veel gevallen zal een consument niet eens bevatten of het een gewone bug of een security bug is. Die merken gewoon raar gedrag op waarvoor ze gaan bellen.

Ofwel, laat ik het zo zeggen. Als ik als consument niet geholpen wordt door de supportdesk op het moment dat ik een securitybug gevonden lijk te hebben, dan denk ik: stik er maar in. Als jullie het niet willen weten maak ik het wel openbaar. Ik heb als consument geen zin om van kastje naar kastje naar kastje gestuurd te worden of te moeten zoeken naar het goede kastje waar ik de melding moet doen.
Ik wil het kwijt, en als je het als bedrijf niet wil hebben, dan vertel ik het wel aan een ander bedrijf of de hele wereld. Zou ik niet zo heel moeilijk over doen.
Misschien wil je wel helemaal niet op de agreement drukken. Want daar staat het een en ander over vertrouwelijkheid. En juist bij bugs kan de een het een hacker noemen, en een ander een bug-report. Als je aan de verkeerde eind van de stok beland omdat je de huidige manier van bugs rapporteren niet snapt, want het is vaag, dan slaat apple je met de agreement om de oren.

https://developer.apple.c...loper-Agreement-Dutch.pdf

Juist bij een bug gebruik je een dienst op een andere manier dan het bedoeld is.

[Reactie gewijzigd door leuk_he op 8 februari 2019 10:19]

Er staat in de Tweet chain een bericht van haarzelf dat ze een dev. account heeft aangemaakt.


MGT7
‏ @MGT7500
29 jan.

I reported the bug there after registering as a developer (even though I’m not, I was told I could) and also emailed product-security@apple directly.
1 antwoord 0 retweets 30 vind-ik-leuks
Ik quote mezelf even vanaf een andere reactie, maar deze mevrouw heeft EXACT gedaan wat Apple van je verlangt in deze situatie. Plus nog veel meer. Je probeert haar nogal zwart te maken voor het zoeken van aandacht, maar als deze bug geen aandacht had gehad was hij er vandaag waarschijnlijk alsnog geweest.
Ze heeft exact gedaan wat op die website staat vermeld, op jouw link staat (je hebt naar de NL variant gelinkt): Om beveiligings- of privacyproblemen te melden die van invloed zijn op Apple producten of webservers, neemt u contact op met product-security@apple.com.

"In fact, through subsequent tweets, Thompson claimed that she made multiple attempts to reach Apple and inform the company of the issue. An email dated January 22nd warned of “a major privacy and security flaw.” Another image seemingly confirms that Thompson eventually emailed product-security@apple.com, which is exactly what the company says should be done in this kind of urgent situation. "
(bron: https://www.theverge.com/...-bug-warned-eavesdropping)

Ze heeft via meerdere kanalen contact gezocht, Apple kan zich niet eens verschuilen achter het feit dat een enkele medewerker een fout heeft gemaakt.
Zo zie je maar, het was alsnog veel interessanter geweest deze ontdekking te verkopen op een site of intelligence bedrijf (afhankelijk van je moraal kompas o) ), en dan kon je nog betaald worden in bitcoin of andere valuta. Veel minder gedoe en moeite dan communiceren met Apple :-)

Deze vrouw heeft inderdaad al meer gedaan wat men kan verwachten van een gebruiker om melding te maken van deze exploit.
Grappig mevrouw is nu mediageil en op zoek naar aandacht.

Dus om een bug te melden moet je een ontwikkelaar account aanmaken. Klinkt misschien logisch maar waarom zou dat moeten, kan een melding niet gewoon serieus genomen worden.
Het lijkt een beetje een ambtelijke molen, dank u voor uw email maar we kunnen het niet in behandeling nemen, het moet via een account dat u eerst moet aanmaken, tot ziens.

hoe moeilijk is het om even te kiijken naar het mailtje, de bug en het intern door te sturen.

Wat dit voorbeeld laat zien is de totale inflexibiliteit van grote bedrijven, regels zijn regels, het moet zo anders kan het niet.

Nu is de bug alsnog gemeld maar het had zo maar zo kunnen zijn dat het nog weken of maanden had geduurt voordat iemand anders ermee was gekomen.
Oke.. bug in Windows 10.
Hoe en waar ga jij deze melden? MS support bellen?

Ten eerste als jij als consument MS support belt, krijg je niet de meeste bekwame support engineers aan de lijn die een bug of priorty kunnen inschatten. Daarnaast krijgen zij zo veel telefoontjes per dag dat zij binnen xx minuten een call moeten afhandelen vaak via script gesproken en veel medeleven te tonen "ik vind het erg vervelend dat u een probleem met %productnaam% heeft mijnheer, ik zal er alles aan doen om u hiermee te kunnen helpen". doorzetten is vaak wel mogelijk, maar ook dit is niet het juiste kanaal, naast uren en uren telefoneren en wachten op response. gewoon niet te doen. Wel handig als je net die ene functie niet in je menu kunt vinden. Daar kunnen ze je heel goed mee helpen.

zie b.v. dit blog eens. been there done that. http://www.schveiguy.com/...eport-a-bug-to-microsoft/

Nu heb ik ervaring met premiere support van MS en met TAM's en ik moet zeggen dat gaat stuk simpelere. Bij premier kom je direct bij de juiste afdeling terecht van je product en kan hij je door patchen naar een sub.
Bij de TAM zal hij/zij dit samen met jou uitzoeken. Dan gaat hij intern kijken wie je hier Verder mee kan helpen.

Echter consumenten en bug reports. dat is toch echt haast onmogelijk. tweets wordt niet naar gekeken. Alleen als het grote publiek echt er op gaat reageren.

[Reactie gewijzigd door To_Tall op 30 januari 2019 23:52]

Dus je punt is? Dat MS het ook niet goed doet, dus hoe Apple handelt is goed?
Als je een speciale security mail adres hebt, maar niks mee kan doen omdat er teveel binnenkomt, dan moet je het maar sluiten en niet onnodig personeelskosten maken door overal op te reageren dat je er niks mee kan.
Nee ik geef hiermee alleen aan dat buiten standaard support hele andere paden zijn. Main stream support is in gericht om klant te helpen met standaard problemen al dan niet scripted workflow te volgen.

Dat is niet perdefinitie slecht, maar ongemakkelijk voor standaard klanten. Die geen première support kunnen krijgen.
Microsoft belt anders regelmatig pro-actief klanten op, om middels een RDP sessie allerhande problemen op te lossen ;-)
Dus we moeten in reacties onder dit artikel over Microsoft zeuren? Wat dacht je van Facebook? Of de EU?
Maar volgens mij gaat dit over Apple, whataboutisms zijn toch juist niet nodig bij zo'n fantastisch merk?
Klopt niks tandarts problemen waarbij ms engineer snel kan helpen wordt dat gedaan. Komt meer voor dan je denkt.

Ga je een laag dieper is het voor consumenten lastig om problemen aan de kaak te stellen.
Het is een nachtmerrie om Microsoft support te pakken te krijgen. Weet ik uit eigen ervaring.
Je mist m'n grapje; scammers bellen vaak op en doen zich voor als MS support engineer, om vervolgens je PC van afstand over te nemen.

Maar maakt de slechte support van Microsoft iets goed voor Apple?

Voor tandarts problemen zou ik overigens ook niet bij Microsoft aankloppen ;-)
Maar dit is gewoon de normale weg van bugs bij apple melden.
Vreemde 'normale weg' dan. Waarom moet je jezelf kwalificeren als developer om een bug te kunnen melden? Veel mensen zullen zich niet als developer beschouwen en dan heb je meteen een drempel te pakken om zo'n account aan te maken.
Ik heb ongeveer 1 jaar geleden ook een poging gedaan iets te melden wat in mijn optiek een “bug” was. Je krijgt in vele gevallen niet eens een reactie.
Ik heb exact dezelfde ervaring.
Ik heb ooit een bug gemeld bij google, toch direct reactie (nuja, men ging het bekijken :p )
Maar dag erna al mail met meer uitleg etc...

Helaas geen reward ofzo gekregen :p (heb wel de 10 chromecasts kunnen houden die ik bestelde met 1 100% kortingscode...)
Het is nog gemakkelijker dan itsme hierboven omschrijft. Ik neem aan dat dit ook de stappen zijn die Apple Support de mevrouw heeft aangewezen. Je hoeft je namelijk niet eens als developer te registreren om bij Apple een bug te melden.

Het zijn drie doodsimpele stappen die in principe iedereen kan volgen:
1. je gaat naar bugreport.apple.com
2. je logt in met je AppleID (die had ze al want die gebruik je ook voor FaceTime)
3. klik op Report a Bug en vult het formuliertje in

Echt, het is meer werk om de media te bellen dat Apple je bug melding gemist heeft dan om even op de juiste plek in te loggen.
Echt, appel had de mail ook intern kunnen verzenden en mevrouw kunnen bedanken. Echt, hoe moeilijk is dat?
Waarom wordt er dan gesproken over een ontwikkelaars account?
Eerst wordt geinsinueert dat die dame te dom is om Facetime te gebruiken.
En dat soort gebruikers moeten een dev account aanmaken?
Dat is toch de grootst mogelijke lariekoek?
Mevrouw, noch zoon, zijn ontwikkelaars. Nee dus. De helpdesk had dit gewoon moeten oppikken.
White knights?

Maar goed,
Dus ze is lui én dom omdat ze geen ontwikkelaars account aanmaakt?

Ten eerste, naar mijn idee zou zoiets helemaal niet hoeven. Melden bij Apple zonder zo'n account zou voldoende moeten zijn.

Ten tweede: ->ontwikkelaars<- account. Dat is meer gericht voor ontwikkelaars, en zij is een advocaat.

Dat jou misschien zo perfect bent dat jij alles perfect weet en alles perfect doen is jouw probleem. Iedereen is anders, iedereen denkt en doet anders.
Geschokt... en vooral van de reacties hier.
T.net is te klein als MS een storing in zijn activatieservers heeft, als Google een bugje fixt en daarover publiceert of de naam Facebook en privacy in één artikel genoemd worden, maar als Apple een gigantische blunder begaat - want dat is het - dan lezen we hier reacties als 'kan gebeuren', 'bug is niet op de juiste manier gemeld' en 'Ze wilde geld vangen'. What the fuck?!
Toen ik gisteren over deze bug las dacht ik: nieuwe versie, foutje ingeslopen, kan gebeuren, snel ontdekt. Maar dat blijkt dus niet het geval. De bug is een week geleden al ontdekt en gemeld en wie weet hoe lang deze al bestond en mogelijk misbruikt werd. Apple gaat pas tot actie over als mainstream media het beginnen op te pakken.

Waar komt die onvoorwaardelijke verheerlijking van Apple hier vandaan? Juist een Tweaker zou toch beter moeten weten!
Kijk dit is nou typisch onderbuik gevoelens.
Een bug in iOS geeft gemiddeld op T.net meer reacties dan een Android bug, terwijl Android 2x zoveel gebruikt wordt in NL (en op Tweakers misschien meer). Idem voor Windows vs MacOS, terwijl Windows 8-10x meer wordt gebruikt. Dus wat je schrijft slaat niet op feiten.

Daarnaast schrijf je dat je zelf ook dacht "kan gebeuren" en dan ga je anderen ervan beschuldigen dat ze dat dachten. Dat de bug niet goed gemeld was (naar twitter account van Tim Cook nota bene) zonder enige inhoudelijke beschrijving klopt gewoon. En dat de vrouw op geld uit was klopt ook, dat kan je gewoon lezen in de berichten die ze schreef.

Dat Apple pas tot actie over gaat als mainstream media het oppakt, dat weet je gewoon niet. Dat wordt door T.net beweert, maar klopt niet met wat er in het 9to5mac artikel staat. Daar staat dat Apple pas publiekelijk reageerde toen er op social media aandacht aan werd besteed en nadat meerdere gebruikers de bug hadden gemeld. Je weet ook niet of Apple al niet ermee bezig was na de eerste melding. Toen 9to5mac er over melden had Apple al een release gepland, maar gezien alle publiciteit zijn ze overgegaan op het terugtrekken van de functionaliteit. Zo lees ik het. Dat Apple dat direct had moeten doen, dat vind ik wel.
Geheel mee eens.
Als dit zelfde gebeurt bij eerder genoemden dan brand alles los.
Ik vind dit niet kunnen en van geen enkele partij.
Zowel Google, MS als Apple moeten de zaken serieus nemen.
Dit gebeurd vaak genoeg dat het wordt afgewimpeld met van de gebruiker zal wel te dom wezen om het product goed te gebruiken.

Als puntje bij paaltje komt zijn er genoeg moraal ridders die een beloning voor een bug willen.
Ook weleens bugs gerapporteerd bij software waarvan je denkt van hoe komt dit door de de QA.
Maar dan ga ik echt niet vragen om een reward of het op sociale media zetten.
Desnoods mail ik de support desk plat met bewijs.
Wat ik me afvraag is... zou dit nieuwsartikel dusdanig veel stof hebben doen opwaaien als ze het woord 'vrouw' weggelaten hadden en het puur over een 'persoon' hadden gehad? :+

Het voelt bij mij namelijk alsof het geslacht van deze betreffende persoon een zeer polariserend effect heeft gehad op de reacties.
Het zegt mijns inziens alles over de arrogantie van het bedrijf Apple, 1 van de belangrijkste redenen waarom ik nooit iets van dat merk zal kopen.... :/
De impact is hoog wanneer er media aandacht is en niet wanneer de bug zelf impact heeft voor de gebruiker? Het is niet raar dat Apple pas gaat prioriseren wanneer er media aandacht is? Het is raar dat er media aandacht is voor een bug met een hoge impact? Op Tweakers?
Ik volg je niet
Ben het eens renevanh, rare reacties. Ik heb nu een Android telefoon, maar dit moet Google mij ook niet flikken...
Ik bedoel met media niet alleen Tweakers, maar ook alle andere nieuwssites.

Maar om nog te verduidelijken:
Op het moment dat een bug publiekelijk wordt gemaakt door de media, weet in een klap iedereen van die bug i.p.v. een select hoeveelheid personen. Dat maakt de risico een stuk groter dat de bug wordt misbruikt.
Dit is wat er gebeurd als je de melding van die vrouw negeert. En geen fix ontwikkeld. Dan neemt men het heft in eigen handen zodat er een oplossing moet komen. Hoe had jij dit liever zien lopen als apple er geen gehoor aan wil geven?

Edit: totaal irrelevant als je WhatsAppHack hieronder leest.

[Reactie gewijzigd door BlaDeKke op 31 januari 2019 09:27]

“Zij kreeg het advies om eerst een ontwikkelaarsaccount aan te maken en vanuit daar een bugreport aan te melden.”

Lol... :+ Ik gok dat ze dan inderdaad de normale support gemaild heeft. Die zijn niet getraind in dat soort zaken. Er is een speciaal emailaddres voor security problemen met getraind personeel. Als het een valide probleem is wimpelen die je echt niet af. :P Het zou wel handig geweest zijn als de medewerker daar naartoe had doorverwezen ipv een bugreport via de developer account. Tim Cook gaat ook echt niet alle tweets lezen.

Wellicht moet Apple dat duidelijker vermelden, maar ervaring leert dat als je het te duidelijk maakt je de meest belachelijke en irrelevante meldingen krijgt en zelfs gewoon support vragen (over andere onderwerpen). Maarja, dit is weer het andere uiterste...

Toch vind ik het niet al te moeilijk te vinden, “Apple beveiligingslek melden” op Google verwijst direct naar https://support.apple.com/nl-nl/HT201220 waar alles netjes uitgelegd staat, inclusief contactgegevens voor het security team.

[Reactie gewijzigd door WhatsappHack op 30 januari 2019 19:53]

Ze heeft exact gedaan wat op die website staat vermeld, op jouw link staat (je hebt naar de NL variant gelinkt): Om beveiligings- of privacyproblemen te melden die van invloed zijn op Apple producten of webservers, neemt u contact op met product-security@apple.com.

"In fact, through subsequent tweets, Thompson claimed that she made multiple attempts to reach Apple and inform the company of the issue. An email dated January 22nd warned of “a major privacy and security flaw.” Another image seemingly confirms that Thompson eventually emailed product-security@apple.com, which is exactly what the company says should be done in this kind of urgent situation. "
(bron: https://www.theverge.com/...-bug-warned-eavesdropping)

Ze heeft via meerdere kanalen contact gezocht, Apple kan zich niet eens verschuilen achter het feit dat een enkele medewerker een fout heeft gemaakt.
Even kijkend naar de screenshots in dat artikel vallen me twee dingen op:

1) De reacties van het security personeel zijn weggeknipt uit de afbeelding. We zien twee emails waarop een reactie is gekomen van “Devin” van het security team. De reactie van Devin is er af geknipt. Ik ben toch wel erg benieuwd wat die te melden had, maar ik gok niet zoveel vanwege de mail die ze gestuurd had. Zie de screenshot in het artikel en wat The Verge daar over schrijft:

2)
The emails emphasized the bug’s significance, calling it “a huge issue” that Thompson had personally verified.
Ze zal niet de eerste zijn geweest die een “huge issue” heeft gemeld die “persoonlijk bevestigd is”, maar:
Without revealing the necessary steps to exploit the bug in that email — she had questions regarding Apple’s bug bounty program and wondered if her son might receive a monetary reward for discovering it — Thompson asked Apple to get in touch immediately so that a fix could be quickly developed.
Dus ze heeft een mail gestuurd naar Apple’s Security Team zonder specifieke details omdat ze eerst wilde weten of ze geld zou krijgen alvorens iets te zeggen. Sure, dat kan ik heel goed begrijpen. Een paar duizend K van Apple is een leuk zakcentje voor die zoon om op de spaarrekening te zetten - al had ze die vraag ook kunnen stellen tezamen met een gedetailleerde beschrijving van het probleem; het antwoord is toch hetzelfde. Maar wat verwacht je dan voor reactie te krijgen van Apple? Waarschijnlijk niet veel meer dan dat dit beoordeeld moet worden, wat info over de maximale vergoeding en een verzoek om verdere details. Wat moet je er als security analist mee...? Om het simpel te stellen: domme emails lopen een verhoogd risico op domme antwoorden en ik denk dat het onredelijk is om te stellen dat alle Apple medewerkers buiten het security team dat soort nutteloze emails te allen tijde bloedserieus moeten nemen, ik gok dat dat dweilen met de kraan open is... Het security team zelf zal ook wel boatloads aan onzin krijgen, dan wordt ‘t lastig om veel meer dan een standaard pre-defined antwoord te geven als men weigert verder ook maar iets te zeggen.

Op 25 januari stuurt ze dan eindelijk toch nog een gedetailleerd rapport zoals verzocht en neemt ook meteen contact op met de media en ze had daarvoor (volgens meerdere Twitteraars die haar blijkbaar op Facebook hadden gezien, ik heb daar zelf niet naar gezocht - dus pin me er niet op vast) al contact gehad met Fox... :X (-edit- In eerste instantie over het hoofd gezien omdat de embed geblokkeerd werd door m’n filters: ook haar tweet van 20 januari mentioned @foxnews al, dat is dus zo’n 5 dagen vóór ze de exacte details naar Apple heeft gestuurd.)

Goed, uiteindelijk had Apple dit beter op kunnen pakken. Maar als je in eerste instantie steeds contact opneemt zonder enige werkelijke details te geven, wat waarschijnlijk tig mensen per dag doen, en te vragen om geld kan ik me ergens ook wel voorstellen dat er dan niet direct serieuze antwoorden op komen totdat dan eindelijk een gedetailleerd rapport is ingediend. Maar omdat tegelijkertijd de media is ingelicht en het al op Twitter en Facebook geknald is heeft Apple dus minder dan 2 dagen de tijd gehad om het te onderzoeken en te bevestigen alvorens de shitstorm losbarste... In termen van Responsible Disclosure is dat natuurlijk een lachertje. Zelfs Google’s agressieve team geeft meer tijd. Een leek als deze mevrouw zal dat natuurlijk niet weten, maar ik kan me niet aan de indruk onttrekken dat ook zij niet bepaald handig heeft gehandeld door eerst enkel om geld te vragen en te weigeren details te geven behalve “het is een groot lek, echt waar!”, terwijl ze intussen alles op social media dumpt :+

Maar goed, dat zal misschien wel aan mij liggen. Ik vind in ieder geval met deze informatie niet dat je het Apple helemaal kan verwijten en ze had best wat meer tijd mogen geven nadat ze eindelijk die rapporten had ingediend.

-edit- wat vervelende spelvauten opgelosdt

[Reactie gewijzigd door WhatsappHack op 30 januari 2019 23:04]

Dus ze heeft een mail gestuurd naar Apple’s Security Team zonder specifieke details omdat ze eerst wilde weten of ze geld zou krijgen alvorens iets te zeggen. Sure, dat kan ik heel goed begrijpen. Een paar duizend K van Apple is een leuk zakcentje voor die zoon om op de spaarrekening te zetten - al had ze die vraag ook kunnen stellen tezamen met een gedetailleerde beschrijving van het probleem; het antwoord is toch hetzelfde. Maar wat verwacht je dan voor reactie te krijgen van Apple?
Hier heeft de IT industrie het toch ook zelf naar gemaakt. Door publiekelijk bounties aan te bieden voor security bugs verklaar je het eigenlijk tot handelswaar. En wat is de eerste reactie van iemand die waardevolle handelswaar heeft? Inderdaad, niet uit handen geven voordat je je betaling zeker gesteld hebt.

Waarschijnlijk heeft Apple in haar optiek domweg niet adequaat gehandeld en had ze van Apple een serieus aanbod tot onderhandelen over de prijs verwacht. Dat is namelijk wat normaal gesproken gebeurd als iemand je iets aanbied waarin je geïnteresseerd bent. Door dat niet te doen heeft Apple wat haar betreft desinteresse uitgesproken. En als Apple het dan blijkbaar toch niets waard vind kun je de info net zo goed op het internet gooien.

Deze gedachtegang is voor een tweaker misschien moeilijk te begrijpen, maar ik kan me voorstellen dat het even duurt voordat een leek die tegen zoiets aanloopt op dezelfde golflengte zit als de IT industrie.
Geef ik je gelijk in. Sommige mensen denken nogsteeds dat IT-ers kunnen toveren en met een muisbeweging alle problemen oplossen. (Helaas worden we niet als goden aanbeden. :P)

Wel vond ik je opmerking interessant. Toen ik over je argument nadacht was ik benieuwd hoe zo iemand, als deze situatie van toepassing was, kennelijk toch genoeg wist om:
1) Van bugbounties af te weten (en hoe zo’n programma dus heet)
2) Wist hoe ze (uiteindelijk dan :+) het security team moest benaderen met officieel ogende stukken per fax. Dat is zegmaar al een stuk meer dan de gemiddelde persoon. Die zullen wel om geld vragen, maar een “bug bounty reward program” is een redelijk specifieke term...
Dus is het wel een leek zoals ik in eerste instantie aannam?

Only one way to find out, ik ga eens kijken...
Welnu, we wisten al dat ze een advocaat was. Haar naam staat ook in de artikelen, evenals haar expertise. Om te voorkomen dat men denkt dat ik zit te DOX’en zal ik niet linken, maar het is publieke info die zo te zien zelfs SEO-maatregelen heeft gehad zodat zij direct naar boven komt als mensen er op zoeken. Het blijkt dat mevrouw doktoren en ziekenhuizen bijstaat bij HIPAA-overtredingen. HIPAA heeft betrekking tot, jawel: de elektronische beveiliging van privégegevens van patiënten. (Info: https://www.hhs.gov/hipaa...ws-regulations/index.html en https://www.hhs.gov/hipaa...onals/security/index.html) Als dit niet goed geregeld is of er lekken zijn, dan kan je daar flink wat gedonder mee krijgen en dus heb je zo’n advocaat als zij nodig.

... Dat verklaart een hoop en met die kennis moet dit specifieke geval denk ik dondersgoed geweten hebben hoe het dan precies in z’n werk gaat. Ik ben het dus met je eens in algemene zin, maar met deze informatie voor dit specifieke geval denk ik dat mevrouw wel wist hoe het allemaal in z’n werk gaat binnen tech bedrijven en met responsible disclosure en dit “ik ben een noob en wist niet beter” excuus dan eigenlijk niet opgaat. Ironisch zal ze professioneel waarschijnlijk juist best vaak alles er aan doen om dit soort “vervelende lekken naar de media” te voorkomen. :P

Ik kan het mis hebben en het is “circumstansial”, maar vond het interessant genoeg om te delen.
Misschien is ze goed in verweren in de rechtszaal maar weet ze inhoudelijk alsnog weinig, dat kan natuurlijk. Of omdat dit in een privésituatie was reageerde ze zoals wel meer ouders als hun kind iets “groots” ontdekt... Maar ik blijf het een beetje apart vinden. :)

[Reactie gewijzigd door WhatsappHack op 31 januari 2019 00:36]

Er is een groot verschil om binnen de wetten van de HIPAA te weten hoe dit soort zaken worden opgepakt, en hoe het daarbuiten valt. HIPAA is (naar Amerikaanse maatstaven) absurd streng, en aangezien dit geen medisch iets is maar een algemene privacy iets wat daar veel per-staat wordt geregeld (one-party consent state, two-party consent state, etc.) had zij waarschijnlijk geen voor haar bekend raamwerk om mee om te gaan en te zeggen 'op basis van wet X artikel Y.Z moet jij blabla'. Immers, FaceTime wordt door de hele wereld gebruikt, en niet alleen door patienten die onder HIPAA vallen.

Sterker nog, uit het oogpunt van de plea-deals die vaak rechtzaken beslissen voordat deze bij een rechter voorkomen, is het hartstikke normaal om gewoon blunt te zeggen wat jij wil en hoog te schieten. Helaas had ze in dit geval niet het schildje van 'HIPAA advocaat' maar alleen de identiteit van 'geldbeluste moeder', en belandde ze in het muurtje-naar-de-wal proces dat grote techbedrijven vaak benutten om van de gemiddelde gebruiker af te komen.
Ze is ook advocaat :-)
Hmmm, wel een interessante nuancering waardoor je naar mijn mening Apple net iets minder hard kan verwijten. Inclusief ikzelf :P
Hoe kan het niet 100% de schuld van Apple zijn dat ze dit soort signalen (hoe ze ook binnen komen) niet serieus nemen?

Los van hoe de vrouw het aankaart en of ze daarbij een bounty wil hebben: als verantwoordelijke organisatie moet je elk van dit soort signalen serieus nemen. Als je te veel valse meldingen krijgt moet je kijken hoe je daar iets aan kunt doen zonder je bereikbaarheid voor de gewone gebruiker aan te tasten. Het zijn immers gewoon betalende klanten en die zou je te woord moeten staan. Daar hoort bij dat je soms, of regelmatig, mensen oogenschijnlijk "doelloos" te woord staat.

Ik kan me niet indenken waarom Apple in dit geval ook maar enigszins verdedigbaar is. Ze hebben hier een grote fout gemaakt (nota bene inzake een andere grote fout) door een klacht niet serieus te nemen. Alleen daardoor heeft dit zo lang kunnen en moeten duren.
Het is een beleidskeuze. Kies je voor makkelijke toegankelijkheid met het risico dat je het nodige spul eruit moet filteren of kies je voor lagere toegankelijkheid met het risico bugmeldingen te missen? Het is minstens net zoveel in het belang van Apple als in het belang van een individuele gebruiker om valide veiligheidsgerelateerde bugmeldingen te ontvangen maar naar mijn mening laat een dergelijke keuze zien (als deze bewust zo is genomen) dat Apple die mening niet deelt...
Je moet een balans vinden en voor alles is een plek. Als ik de afdeling administratie bel moet ik ook niet raar opkijken als ze me ergens anders heen doorverwijzen als m’n vraag niet over administratieve zaken gaat. ;)

En zoals gezegd, een zoekopdracht in hun docs of op Google geeft je direct het juiste antwoord met de juiste contactgegevens. Zo moeilijk te vinden is het dus allemaal niet en dus is die balans redelijk in orde eigenlijk.

Enige fout is de medewerker die doorverwees naar een developer account. Tja, dat kan gebeuren.
Met het risico te vervallen in discussies over voorbeelden: als jij de afdeling administratie belt over dat jij gegevens hebt gehad van compleet andere personen dan zou ik het een incorrecte reactie vinden van het betreffende bedrijf als ze zeggen "Wilt u met die en die afdeling contact opnemen en u daar opnieuw registeren als klant. Goedendag.". Dan zouden alle alarmbellen moeten gaan rinkelen dat er sprake is van een ernstige fout. Dan ga je niet bureaucratisch meer handelen want dat is gewoon niet meer in het belang van het bedrijf én de klant.
Maar het zou wel redelijk zijn om te vragen even terug te bellen en te kiezen om contact op te nemen met het security team om het daaraan uit te leggen. Als je vervolgens belt en enkel zegt “ik heb een groot lek gevonden. Echt waar. Hoeveel geld krijg ik?” (wat ze volgens het Verge artikel heeft gedaan), ja dan snap ik wel dat er nog geen zinnige reactie uitkomt van die medewerkers tot ze meer weten waar ik het over heb. :+ En dat een support medewerker het dan verkeerd heeft begrepen en doorverwijst naar de bugreporting tool: aight, dat stukje was wel slordig. Ben ik het helemaal mee eens.
Zeker! Dat mag je op zich vragen via de ticket/email of telefonisch. Los van de vraag of dat het juiste beleid is. Maar dat is twintig keer beter dan een melding gewoon weg doen. Maar als ik het t.net artikel mag geloven dan was er ook een video met het bewijs ;)
En als het intern via een bepaalde procedure moet, dan zou een helpdeskmedewerker ook gewoon een bugreport kunnen aanmaken met mevrouw aan de telefoon om haar gegevens in te vullen. En als het klopt dat ze inderdaad een developer-account heeft aangemaakt, is er kennelijk elders nog iets foutgegaan.
Het kan gebeuren, maar het blijft toch vreemd dat je sommige bedrijven beter kunt benaderen door eerst te Googelen dan door gewoon via de voordeur contact op te nemen met het bedrijf. Een premium-bedrijf als Apple moet dat toch beter kunnen.
Een bedrijf dat zich in de wat duurdere markt positioneert en als doel heeft een 'bovengemiddelde gebruikerservaring' neer te zetten. Los van wat je van Apple vindt (ik zou er nooit een kopen, maar ik snap dat sommige mensen er wel een zouden kopen), is dat wel hoe ze zich positioneren, en in principe lijkt me dat een prima marktpositie voor ze. Moeten ze alleen wel een beetje aan de verwachtingen blijven voldoen, en daar gaat het zo nu en dan mis. Vandaar mijn opmerking dat dat toch beter moet kunnen.

Bovendien: Doordat zij een bepaald marktsegment invullen, krijgen andere fabrikanten een minder sterke monopoliepositie. Ook als je niks met Apple hebt, profiteer je er als PC- tablet- en telefoongebruiker wel van als zij hun zaakjes zo goed mogelijk op orde hebben.

[Reactie gewijzigd door mae-t.net op 30 januari 2019 22:44]

het melden via de door Apple gecommuniceerde emailadres werkt dus niet he, want dat heeft ze ook keurig gedaan. Dat er vervolgens een medewerker ook nog aanraadt een developer account te maken: dat is helemaal niet goed. Dit soort grote bugs moet elke supportmedewerker in zoverre op getraind zijn dat ze weten hoe hiermee om te gaan. Dit mag je niet zo missen. Ik vind dat je wel heel erg in de verdediging van Apple schiet. Dat is niet terecht in mijn ogen.

de les die ik hier uit leer: als je zo'n bug vindt: niet melden bij Apple, maar direct naar media stappen met je bewijs. Alleen dan wordt het juist opgepakt.
Volgens het artikel heeft ze dat dus niet keurig gedaan. Ze is eerst om geld gaan vragen bij het security team zonder enig detail te geven over wat er nou aan de hand was behalve “a huge bug”. Pas op de 25e (2 dagen voor het breed uitgemeten werd in de media) heeft ze uiteindelijk besloten om de details toch maar aan Apple te geven. Terwijl ze tegelijkertijd contact zocht met de media. (volgens verschillende Twitteraars, niet mijn woorden.)
Ik vind dat Apple de balans goed gekozen heeft. Immers, iemand die ter zake kundig genoeg is om een beveiligingslek te kunnen vinden, zal over het algemeen ook wel weten hoe, via de juiste kanalen, een bug report te filen. Consider it an IQ threshold.
Leuk, zo een IQ treshold. Resultaat in de praktijk is dat een kritiek veiligheidslek gemist is en het verbaast mij dat iedereen dit beleid blijft verdedigen door de vrouw in kwestie iets te verwijten. Wat mij betreft zijn dat twee totaal los van elkaar staande zaken. Die vrouw heeft er belang bij om het via het juiste kanaal de melding in te dienen om zo snel mogelijk zelf geen last meer te hebben van het veiligheidslek. Daarnaast heeft Apple het belang om zo snel mogelijk van dergelijke lekken op de hoogte te zijn, ongeacht het kanaal. Dan kan Apple heeft principieel doen, in dit geval is dat ten koste gegaan van alle gebruikers. En dat vind ik evenmin goed te praten.
Zo is het maar net, ik plaatste al wat reacties onder de 'goedpraters'. Er is simpelweg niets goed te praten. Apple heeft een bug-report gemist, niets meer en niets minder. Dat kan overal gebeuren, maar dat betekent wel dat er minstens 1 medewerker dit jaar geen opslag krijgt en/of dat er een helpdeskprocedure herschreven zal moeten worden.

Let wel: dat staat volkomen los van de technische- of begripsvaardigheden van de klant. Als bedrijf kom je er immers niet onderuit om klanten te hebben, dus dan moet je daar in je procedures rekening mee houden. Zeker Apple heeft niet per definitie heel erg technisch onderlegde klanten (wat ik niet negatief bedoel; ik heb ook groot respect voor de creatieve sector), dus dan moet je als helpdesk ook geen klanten door hoepels laten springen in plaats van gewoon je werk te doen.
Klinkt plausibel, alleen is dit nieuwsbericht daar dus een tegenvoorbeeld van.
Niet echt. De uitzondering bevestigt de regel. Apple gaat (terecht) uit van potentieel duizenden mensen die per dag een bug report willen filen. Dan moeten ze gewoon de juiste balans vinden. Dat er een mevrouw is die weldegelijk een echte bug vond, maar dan vervolgens niet te tegenwoordigheid van geest had om even te googlen hoe je op de juiste manier een bug report moet indienen, maakt HAAR de uitzondering, maar doet niets af aan de algemene strekking van wat ik zei (namelijk dat Apple er terecht vanuit gaat dat mensen die een echt veiligheidslek raporteren, over het algemeen ook wel weten hoe ze dat correct moeten doen).
ze heeft exact datgene gedaan wat Apple nodig vindt, met het door Apple aangereikte emailadres. Het hele punt is juist dat Apple hier blijkbaar niet op weet te antwoorden. Wat toch wel erg kwalijk is vind ik.
Tegenvoorbeeld betekent ongeveer hetzelfde als uitzondering ;)

Dat je nuisance-calls wilt uitsluiten, snap ik.. Maar klanten door allerlei hoepels laten springen, is daarvoor een onzinnige oplossing.

[Reactie gewijzigd door mae-t.net op 30 januari 2019 22:32]

Het is een beleidskeuze. Kies je voor makkelijke toegankelijkheid met het risico dat je het nodige spul eruit moet filteren of kies je voor lagere toegankelijkheid met het risico bugmeldingen te missen? Het is minstens net zoveel in het belang van Apple als in het belang van een individuele gebruiker om valide veiligheidsgerelateerde bugmeldingen te ontvangen...
Inderdaad. En als je dus het rapporteren van (veiligheids)bugs te laagdrempelig maakt, dan krijgen je duizenden berichten van allemaal mensen die het gewoon zelf niet goed begrepen hebben (maar wel heel 'stoer', en overtuigd van hun eigen gelijk, een bug willen vermelden).
... maar naar mijn mening laat een dergelijke keuze zien (als deze bewust zo is genomen) dat Apple die mening niet deelt...
Maar nou schiet je even uit de bocht, helaas. Anders dan die helpdesk mevrouw die haar ten onrechte verwees naar een developers account, blijf ik de keuze van Apple ondersteunen. Het is, zoals in deze thread al vaker aangegeven, vrij makkelijk te googlen hoe je daar een bug report op de juiste manier moet doen. En nee, het feit dat je een filmple gemaakt hebt betekent niets; daar heeft zo'n helpdesk medewerkster ook niets aan. Je moet gewoon zelf het juiste ingangskanaal kiezen voor je bug report.
Maar nou schiet je even uit de bocht, helaas. Anders dan die helpdesk mevrouw die haar ten onrechte verwees naar een developers account, blijf ik de keuze van Apple ondersteunen. Het is, zoals in deze thread al vaker aangegeven, vrij makkelijk te googlen hoe je daar een bug report op de juiste manier moet doen. En nee, het feit dat je een filmple gemaakt hebt betekent niets; daar heeft zo'n helpdesk medewerkster ook niets aan. Je moet gewoon zelf het juiste ingangskanaal kiezen voor je bug report.
Nou nee, ik schiet niet uit de bocht, gelukkig. Het is zeker vrij makkelijk te Googlen. Ik bestrijd dat nergens. Het is ook helemaal niet mijn punt. Mijn relaas gaat niet over de melder maar over hoe Apple om gaat met informatie die zij krijgen.

Verder kan ik je aanraden om eens te gaan kijken bij een servicedesk. Daar wordt bewegend beeldmateriaal van wat er fout gaat toch wel gezien als een van de beste manieren om te laten zien wat er fout gaat. Daar kun je dus ook snel keuzes mee maken over wat er moet gebeuren. Ik heb dat bij diverse bedrijven en dus servicedesken gezien. Bureaucratie helpt in het geval van dergelijke lekken het bedrijf niet en de gebruikers niet. En duizenden onterchte bugmeldingen klinkt heel indrukwekkend, los van of dat inderdaad praktijk zou zijn, maar er zitten ook echt niet maar 10 mensen op de helpdesk. Verkeerde meldingen zijn een fact of life.

En als je als helpdesk al die meldingen gewoon weg tieft omdat ze niet via het juiste kanaal zijn ingediend dan ben je mijn inziens niet juist bezig. Ik word nu erg gedetailleerd, maar veel ticketingsystemen hebben de mogelijkheid om middels "snippets" of hoe je het wilt noemen een standaard stukje tekst, wat een heel bericht kan zijn, als reply te sturen. BIjvoorbeeld dat de melding via het verkeerde kanaal is ingestuurd. Dan kost het bekijken van een melding en antwoorden je misschien 2 minuten? En vis je, omdat medewerkers er naar kijken dit soort meldingen alsnog uit. Zeg dat je 10.000 berichten onterecht per jaar via het verkeerde kanaal krijgt dan gaat het om 20.000 minuten, 333 uur. Over een jaar is dat nog geen 9 weken full time werk. Op wat, een helpdesk met 100FTE ofzo? Het is daar niet een of andere vrijwillige oudejaarscomputersoos. Het is een professioneel bedrijf met mega-omzet en megawinst en daar mag je adequaat handelen van verwachten.
Maar waarop baseer je dat die vrouw niet heeft gemaild met het daargenoemde emailadres? Ik kan dat niet vinden.
Ik verbaas me over het aantal 'had ze maar het juiste loket gekozen' reacties.

Het is de functie van eerstelijns support: routine zaken zelf afhandelen, en complexe naar het juiste escalatie team doorschuiven. Je een gebruiker niet verwijten dat dat niet soepel geregeld is.
Als je de helpdesk belt en meld dat je met anderen kunt meeluisteren moeten ze daar gewoon wat mee doen.
Apple is zeker bang dat ze een vergoeding moeten betalen als iemand een bug ontdekt heeft.
Erg kinderachtig van Apple. Geef gewoon een gepaste beloning.
Er is helemaal niets kinderachtigs. Alleen via een developersaccount kun je een bug melden in hun systeem. Geen idee of Apple een bug bounty project heeft, zo niet, waarom zou er dan een vergoeding betaalt moeten worden.
Je kunt de gemiddelde consument niet kwalijk nemen dat ze niet op de hoogte zijn wat een ontwikkelaarsaccount is en wat je daarmee moet doen.
Het zou Apple dus sieren hier coulant mee om te gaan en die mevrouw gewoon te helpen.
Zij levert Apple immers een dienst door een nog niet gemeld probleem aan te kaarten.
Eerst met veel bombarie de bug bounty van Google kopieeren en daarna het melden van bug frustreren.
En als het dan gemeld is, wat dan?
Sorry, ik snap het even niet - wat is precies gefrustreerd? :) Ze heeft in eerste instantie volgens het artikel van The Verge geen bug gemeld aan het Security Team, maar enkel een verzoek ingediend om te vragen wat de hoogte van een vergoeding zou zijn en dat ze haar moeten contacten (en wat de Apple medewerker daar op reageert is helaas van de screenshot afgeknipt.). Pas een paar dagen later stuurt ze de gegevens op volgens de timeline. En meteen wat berichten naar de media, die het analyseren en een persbericht de wereld insturen. Op die manier heeft Apple niet bepaald de kans gehad het serieus op te pakken imho...

Blijft wel dat die reactie van die support medewerker over het Developer bugreport natuurlijk downright stompzinnig was. Daar mogen ze wel de training iets verbeteren, absoluut. :)

Er zitten verbeterpunten bij het proces van Apple, absoluut. Maar als ik zie hoe de vrouw eerst om geld komt vragen en tegelijkertijd met het melden de media inlicht kan ik me niet geheel aan de indruk onttrekken dat mevrouw hier graag een slaatje uit wilde slaan. Met succes. :) Prima hoor, business is business - al ben ik zelf meer voorstander van werkelijke responsible disclosure. Van de media had ik natuurlijk niet beter verwacht, die is logisch. :P
Er moet een plek zijn binnen hun support stack voor citizen bug reporting.
Deze pagina bevat informatie over de beveiliging van Apple producten en hoe beveiligingsonderzoekers, ontwikkelaars, rechtshandhavingspersoneel en journalisten contact kunnen opnemen met Apple om een veiligheidsprobleem te melden of er een vraag over te stellen.
Dus niet gewoon jan-en-alleman

[Reactie gewijzigd door mrdemc op 30 januari 2019 20:14]

Als je denkt dat je een bug gevonden hebt en hem zo graag bij het bedrijf dat je een lading mails, tweets en filmpjes stuurt zou zo'n zin toch juist je aandacht moeten trekken dat je daar het juiste pad kan vinden.

Je bent dan misschien geen beveiligingsonderzoeker van beroep, maar als je het zo kan reproduceren heb je toch wel degelijk onderzoek gedaan naar de beveiliging.

Misschien een zinnetje vooraf die het wat opener maakt dat dit ook voor jan-en-alleman is zou wel netjes zijn zoals later in dat artikel wel gebeurd zoals WhatsappHack aangeeft.
“En”. Maar het is gewoon jan en alleman. Iedereen kan een mail sturen. Ik heb er ook eens een mail heen gestuurd zonder enige credential bij te voegen. Kreeg gewoon antwoord hoor. ;) No problemo.

Overigens is de quote voor het melden van lekken een stuk breder:
Om beveiligings- of privacyproblemen te melden die van invloed zijn op Apple producten of webservers, neemt u contact op met *snip*@apple.com.
Daarom zeg ik support stack want blijkbaar was Apple Support niet eens op de hoogte en hebben haar niet naar de juiste kanalen doorgestuurd waardoor ze imo een onnodige omweg moest maken. Een leek gaat eerder naar Apple Support dan zo een verstopte support doc.
When she didn’t hear from Apple Support, she exhausted every other avenue she could, including emailing and faxing Apple’s security team, and posting to Twitter and Facebook

[Reactie gewijzigd door GeforceAA op 30 januari 2019 21:06]

Nee natuurlijk niet, dat is namelijk bij ontwikkelaars veel eerder het geval ('bug-bounty'). Er heeft daar gewoon een marketing persoon die dat Twitter account beheerd gefaald door het te negeren of niet in te zien dat het nog wel eens nuttig kon zijn even iemand anders te laten meekijken.
Zou inderdaad kunnen, maar het kan ook dat ze in de tussentijd veranderingen doorvoeren. Kritiek en stemmen met de portemonnee zijn altijd belangrijke dingen om als bedrijf naar te luisteren.
Ach ja en zo gaat het bij heel veel bedrijven die groot klantenbestand hebben. Zo ben ik google al weken aan het stalken over een bug. Ook krijg ik daar de melding, we rapporteren het maar we weten niet of en wanneer het opgelost wordt. En daarmee is het klaar. Je hoort er vervolgens niks meer over.
Het is voor een bedrijf heel lastig om onderscheid te maken tussen "dit is een echte bug" en "dit is een gebruiker die ondersteuning nodig heeft en iets gewoon niet snapt". (check de supportvragen op het forum maar eens).

Support is heel lastig. Op de schaal van Apple is het nog veel lastiger. Het bizarre aan dit verhaal is dat zo'n enorme bug niet in Beta is ontdekt. Dat geautomatiseerde QA-testen er niet tegen aan lopen snap ik nog wel, maar dat het een Beta overleeft, is niet goed.

Ik heb de tijdlijn even niet paraat, maar volgens mij had Apple Group Facetime al beloofd voor 12.0, maar was het toen nog niet klaar. De indruk die je krijgt is dat ze het daarom heel snel alsnog op de markt hebben willen brengen (ze hebben namelijk flink wat andere dingen die nogal vertraagd zijn) en niet echt de tijd hebben genomen voor een gedegen Beta.

[Reactie gewijzigd door Keypunchie op 30 januari 2019 19:58]

Het is voor een bedrijf heel lastig om onderscheid te maken tussen "dit is een echte bug" en "dit is een gebruiker die ondersteuning nodig heeft en iets gewoon niet snapt". (check de supportvragen op het forum maar eens).
Ik ben het met je eens, behalve dat er een filmpje bij zat waarmee je dit direct kan vaststellen. Dus in dit geval vind ik dat er niet goed is gehandeld.
Dat filmpje voegde ze pas toe nadat ze om geld had gevraagd :+
Het is voor een bedrijf heel lastig om onderscheid te maken tussen "dit is een echte bug" en "dit is een gebruiker die ondersteuning nodig heeft en iets gewoon niet snapt".
Een gebruiker die het niet snapt kan niet inloggen, Facetime niet gebruiken etc.

Maar in dit geval is het tegenovergestelde van toepassing.
Dit riekt enorm naar de standaard Apple afhandeling van bug/gebreken.
Negereren, lukt dat niet downplayen, bij te veel slechte pers oplossen.
Atenna gate, bend gate, battery gate, etc
Sorry hoor, maar ik heb het idee dat jij werkelijk nog nooit op een helpdesk hebt gewerkt.
Ook bij ons worden er op dagelijkse basis bugs gerapporteerd. Helaas is de definitie van 'een bug' nogal verschillend per persoon. Soms is het simpelweg een gebruikersfout, vaker is het een 'feature request' die men als bug indient. En ja, natuurlijk zitten er ook echte bugs in.

We streven er naar om elke melden individueel terug te rapporteren. Ik ben daar wat beter in als mijn collega. Maar helaas kunnen ook wij niet altijd melden wanneer het opgelost wordt. Dat hangt af van de andere werkzaamheden die er uitgevoerd moeten worden of de complexiteit van de bug.
Maarja, er zit natuurlijk wel een verschil tussen bv een Google of Microsoft die meldingen binnen krijgt of een klein bedrijf met een beperkt aantal gebruikers (in verhouding tot het aantal gebruikers bij google of MS).
Inderdaad. Zij krijgen nog veel meer meldingen binnen, waarbij er in het geval van Microsoft ook nog eens een afhankelijkheid is van hardware en andere software.
Bij ons is alles "een ticket" voor de triage. Vervolgens wordt het alleen een bug als het ook echt een bug is en niet een user error of ontbrekende functionaliteit.
Een goed ticket systeem maakt het erg makkelijk om terugkoppeling te geven, zelfs zonder iets te hoeven typen. "In progress" > klik. En je voelt je als melder serieus genomen...
Mee eens. Bij ons wordt er gebruik gemaakt van Zendesk. De processen daarin kunnen zeker nog wel wat finetuning gebruiken.
Ongeauthoriseerd meeluisteren is een feature? 8)7
Wat was nou de bug of truc?
Het is een bug (of achterdeurtje, NSA looking at you).

Eigenlijk hoort het niet.

Nu is het Apple en zou waarschijnlijk na een patch weer als een korreltje zout gezien en verder Apple producten verkopen als "De meest veilige en privacy beschermend platform".

Als Google of een Chinees merk als Huawei of Xiaomi zou flikken, dan wordt het sneller in verband gebracht met spionage door de Chinese overheid, ect.

IOS, Android of een anders OS. Dit soort bugs moeten nooit meer voorkomen!
De bug maakte het mogelijk om van elke iPhone, iPad of Mac die groepsgesprekken op Facetime ondersteunt de audio af te luisteren en video te zien. Dat gebeurde door tijdens het laten overgaan van een privégesprek er een groepsgesprek van te maken door het eigen telefoonnummer toe te voegen. Daardoor stuurt de ontvangende iPhone, iPad of Mac direct live audio of video door, zonder dat de ontvanger het gesprek eerst opneemt of weigert.
:?
Het artikel is later aangepast.
Zeer grote bug.
Beveiliging mag nooit te omzeilen zijn door wat dan ook.
Lol. Voor zon vraag krijg je een +1?
Ok, sorry. Had het originele bericht niet gezien.

[Reactie gewijzigd door Dutch_CroniC op 30 januari 2019 22:42]

Wat versta jij onder een truc?
Zij probeerde vervolgens de truc te reproduceren en toen dat op meerdere iPhones van gezinsleden lukte, besloot ze Apple in te lichten
Als het een werkelijke fout is en Apple reageert niet dan maar openbaar maken. Prima.
Hautain gedrag en iemand met een kluitje in het riet sturen.
Mevrouw is niet helemaal achterlijk.
Nouja het eerste wat ze vroegen was een iPhone en Macbook Pro omdat ze wat ontdekt hadden :) Denk dat mevrouw op dit moment toch vooral geld wil zien.
Ik denk dat mevrouw een advocaat is die het om het geld niet zal hoeven doen.
Ik zie nergens dat ze gelijk items wilden zien als reward ?
Nouja het eerste wat ze vroegen was een iPhone en Macbook Pro
Nobel dat ze ondanks alles toch spullen van Apple willen hebben.
Kost een ontwikkelaars account niet iets van $100 per jaar?

Dan begrijp ik het wel waarom ze niet die weg wou bewandelen.
Een ontwikkelaars account is gratis. Als je apps in de verschillende stores wil plaatsen kost dat je 100 euro per jaar.
Jeetje wat slecht. Uit ervaring weet ik dat veel gebruikers van software meldingen sturen waarbij ze vaak aangeven dat het om een fout zou gaan in de programmatuur terwijl het dan na onderzoek meestal blijkt te gaan om een gebruikersfout. Deze meldingen worden meestal gekenmerkt door zeer vage of ontbrekende reproductiestappen. Maar als er zelfs een filmpje wordt meegestuurd dan kun je bijzonder snel vaststellen of hier er sprake is van een onterechte bugmelding die eigenlijk een gebruikersfout is of een daadwerkelijke bug. Ik kan me best voorstellen dat je zonder duidelijke reproductiestappen in eerste instantie tot het oordeel komt dat het geen bug betreft maar hier slaan ze imho de plank volledig mis.
she had questions regarding Apple’s bug bounty program and wondered if her son might receive a monetary reward for discovering it — Thompson asked Apple to get in touch immediately so that a fix could be quickly developed.

Echt wat voor die Amerikanen, geld geld en nog eens geld.
Tja, als het haar echt alleen om het geld ging - en ze slim was - had ze een hoop kunnen krijgen van zo ongeveer elke veiligheidsdienst. Een zero day exploit waarmee je direct al kunt afluisteren. De ultieme natte droom, ook van onze AIVD...


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True