“Bóc phốt” lỗ hổng bảo mật, chuyên gia nhận thưởng hơn 2 tỷ từ Apple

Sự kiện: Apple

Táo khuyết mới đây đã chi tiền thưởng để “cảm ơn” một hacker sau khi người này tìm ra lỗ hổng bảo mật trong tính năng Sign in with Apple.

Cụ thể, người vừa nhận được khoản tiền thưởng từ Apple có tên Bhavuk Jain, một chuyên gia bảo mật đến từ Delhi là người đã phát hiện lỗ hổng trong tính năng Sign in with Apple, cho phép tin tặc chiếm quyền tài khoản chỉ bằng email ID. 

Apple chi hơn 2 tỷ đồng để thưởng cho người phát hiện lỗ hổng bảo mật.

Apple chi hơn 2 tỷ đồng để thưởng cho người phát hiện lỗ hổng bảo mật.

Theo tiết lộ của Bhavuk Jain, với tính năng "Sign in with Apple" để có thể xác thực người dùng, việc đầu tiên máy chủ sẽ tạo ra một JSON Web Token chứa thông tin bí mật mà ứng dụng bên thứ ba sử dụng để xác nhận danh tính của người dùng đăng nhập.

Sau khi được xác thực, người dùng sẽ được Apple cung cấp tùy chọn chia sẻ ID Apple với ứng dụng bên thứ ba hoặc không. Nếu chọn không cho phép chia sẻ, Apple sẽ tự tạo ra Email ID tạm thời gán cho tài khoản đó. Sau khi xác nhận tài khoản thành công, Apple sẽ tạo ra một token JWT chứa Email ID để ứng dụng và trang web bên thứ ba đăng nhập. Tuy nhiên, khi đến bước này, tin tặc có thể làm giả một token JWT bằng bất kỳ Apple Email ID nào để chiếm quyền kiểm soát tài khoản Apple của người dùng.

Thông tin trên của Bhavuk sau đó được Apple xác nhận nhưng rất may kiểm tra cho thấy chưa có bất cứ cuộc tấn công nào được tin tặc thực hiện thông qua lỗ hổng này.

Và để cảm ơn vì giúp phát hiện lỗ hổng bảo mật trên, Apple đã chi ra khoản tiền thưởng lên tới 100.000 USD (hơn 2 tỷ đồng) dành cho Bhavuk Jain.

Nguồn: [Link nguồn]

Tốc độ mạng 5G đạt kỷ lục hơn 600MB/s, tải bộ phim 1GB chưa tới 2 giây

Với tốc độ 4,7Gbps (tương đương hơn 600MB/s), trên lý thuyết mạng 5G của Nokia có thể tải bộ phim nặng 1GB trong thời gian...

Chia sẻ
Gửi góp ý
Lưu bài Bỏ lưu bài
Theo B.Châu (t/h) ([Tên nguồn])
Apple Xem thêm
Báo lỗi nội dung
X
CNT2T3T4T5T6T7
GÓP Ý GIAO DIỆN