Wie het e-mailadres en de geboortedatum van iemand met een Apple ID weet, kan het wachtwoord van die persoon aanpassen. Dat kan door een beveiligingsprobleem in de 'wachtwoord vergeten'-functionaliteit te misbruiken.
Technologiesite The Verge kwam het beveiligingsprobleem op het spoor: ergens op internet staat uitgelegd hoe het wachtwoord van iemands Apple ID eenvoudig kan worden gewijzigd. Normaliter is voor het wijzigen van een wachtwoord, naast het kennen van het mailadres en de geboordedatum, ook het antwoord op een geheime vraag nodig, maar het blijkt mogelijk die vraag te omzeilen.
Hoe dit precies in zijn werk gaat, is onduidelijk; The Verge doet dat uit veiligheidsoverwegingen niet uit de doeken en linkt niet naar de website waar het beveiligingsprobleem uit de doeken wordt gedaan. Inmiddels is de 'wachtwoord vergeten'-functionaliteit onbereikbaar; de kans is groot dat Apple dat uit voorzorg heeft gedaan, om misbruik van het beveiligingsprobleem te voorkomen.
Gebruikers die two-factor authentication hebben ingeschakeld, zijn niet kwetsbaar voor het probleem. Die functionaliteit, waarbij gebruikers naast een wachtwoord ook een andere code moeten invoeren die naar iemands mobiele apparaat wordt verzonden, is echter nog niet beschikbaar in Nederland en België. Two-factor authentication werd deze week geïntroduceerd door Apple; onder meer Google, Dropbox en Facebook bieden de veiligere loginmethode al langer aan.