Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Олег Иванов 01 Июня 2020 - 08:14

Домашние пользователи

Корпорации

iOS

Apple

Системы аутентификации

Уязвимости программ

...

Apple выплатила $100 000 за критическую уязвимость в Sign in with Apple

Специалист в области кибербезопасности из Дели выявил критическую уязвимость в функции «Вход с Apple» (Sign in with Apple), которую купертиновцы представили в июне 2019 года. В ответ корпорация выплатила эксперту щедрое вознаграждение.

Напомним, что Apple позиционирует свою разработку Sign in with Apple как «более защищённый способ входа в приложения или на сайты». Другими словами, это безопасная система аутентификации.

Как это обычно бывает, нововведение не обошли стороной проблемы безопасности. Исследователь обнаружил уязвимость, которая в теории позволяет атакующему получить контроль над учётной записью пользователя.

Брешь признали критической, а Apple выплатила специалисту $100 000 в рамках собственной программы по поиску уязвимостей.

Поскольку купертиновцы уже устранили баг на стороне сервера, эксперт смог опубликовать подробности выявленной проблемы безопасности. Из соответствующего отчёта можно сделать вывод, что уязвимость затрагивает сторонние приложения, использующие функцию «Вход с Apple».

Если бы злоумышленники взяли на вооружение эту брешь, им бы удалось получить контроль над аккаунтами пользователей. При этом атака бы сработала даже в том случае, если жертва указала некорректный Apple ID.

Как объяснил исследователь, ему удалось запросить токены аутентификации для идентификатора электронной почты. Впоследствии этот ID можно верифицировать с помощью публичного ключа Apple.

Далее потенциальный злоумышленник мог подделать токен, связанный с любым идентификатором Apple, что в итоге приводило к взлому аккаунта атакуемого пользователя.

Стоит отметить, что Apple крайне ответственно отнеслась к полученной информации и провела внутреннее расследование, в ходе которого удалось установить, что киберпреступники не успели использовать уязвимость в атаках. Следовательно, нет повода переживать — аккаунты пользователей не пострадали.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Яков Шпунт 27 Февраля 2026 - 10:47

Сбои программ Соответствие законодательству РФ Домашние пользователи Государство

Россияне жалуются на массовые блокировки Госуслуг

В ряде регионов России пользователи сообщают о временной блокировке аккаунтов на портале «Госуслуги». Ограничения действуют 72 часа. Сбои проявляются по-разному: у одних проблемы возникают при входе в личный кабинет налогоплательщика, у других — при оплате услуг ЖКХ или передаче показаний счетчиков.

О массовых жалобах сообщила радиостанция «Коммерсант ФМ». Пользователи видят системное уведомление: «Часть функционала ограничена на 72 часа для вашей безопасности».

Для восстановления доступа предлагаются два способа: личный визит в МФЦ или подтверждение через цифровой ID в мессенджере MAX. По словам слушателей радиостанции, второй вариант срабатывает не всегда. При этом через трое суток доступ, как правило, восстанавливается автоматически и без дополнительных действий.

Как отмечает портал Altapress, проблема носит выборочный характер. Некоторые пользователи не могли войти с мобильных устройств, но успешно авторизовывались с компьютера.

Ситуация привлекла внимание в Госдуме. Вице-спикер Владислав Даванков и депутаты фракции «Новые люди» направили обращение министру цифрового развития Максуту Шадаеву:

«Просим Вас, уважаемый Максут Игоревич, поручить профильным подразделениям Минцифры России организовать проверку информации о временных блокировках учетных записей на портале “Госуслуги” после жалоб граждан на ненадлежащую уборку снега и работу управляющих организаций, а также по итогам проверки представить разъяснения о причинах, правовых основаниях и порядке применения таких ограничений и мерах, исключающих повторение подобных ситуаций».

В Минцифры еще в декабре 2025 года предупреждали, что аккаунты могут временно ограничиваться при выявлении подозрительной активности. В таких случаях блокируется доступ к разделам с финансовой информацией и возможность авторизации через «Госуслуги» на сторонних сервисах — например, в микрофинансовых организациях или приложении «Госключ».

Эксперт по защите персональных данных консалтинговой компании «Б-152» Максим Лагутин в комментарии для «Коммерсант ФМ» пояснил, что ограничения могут быть связаны с признаками подозрительной активности — входом с IP-адресов разных стран, многократным неправильным вводом пароля или попытками его подбора.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!