Falha de segurança permite que qualquer um redefina senhas de contas da Apple
Uma falha de segurança no site da Apple permite que usuários mal-intencionados redefinam senhas de contas do iCloud. O problema afeta todos os usuários que ainda não ativaram a verificação por dois passos, liberada esta semana. Para que a senha de um usuário seja alterada, é necessário saber o email e a data de nascimento cadastrada na conta – essas informações são facilmente encontradas em redes sociais.
Segundo o The Verge, que obteve acesso a um tutorial que explica como explorar a falha, a vulnerabilidade consiste em usar uma URL modificada e preencher corretamente a data de nascimento do usuário como resposta da pergunta de segurança. O guia passo a passo está disponível publicamente na internet.
Usuários do iCloud com contas registradas nos EUA, Reino Unido, Austrália, Irlanda e Nova Zelândia podem ativar a verificação por dois passos para aumentar a segurança da conta. Se o recurso estiver ativado e o usuário tentar alterar informações da conta ou fazer compras a partir de um dispositivo novo, será necessário digitar a senha e um segundo código, que será enviado por SMS ou pelo Find My iPhone. A verificação por dois passos inexplicavelmente ainda não está disponível para os brasileiros.
A Apple reconheceu o erro e disse que está trabalhando em uma correção. Minutos após a publicação da notícia, a empresa retirou do ar a página de redefinição de senha.
Atualizado às 20h18.