Antes de publicar ontem a notícia de que os fóruns oficiais do Ubuntu foram invadidos e os dados dos usuários foram roubados, a primeira reação que foi prevista para o post foi a de alguém colocando a culpa no Linux e dizendo que se o servidor rodasse em plataforma Apple ou Microsoft isso não teria acontecido. Não demorou nem um dia para provarmos que esse alguém estaria errado: A Apple anunciou hoje que a área para desenvolvedores de seu site foi invadida e dados dos usuários podem ter sido roubados.
De acordo com a mensagem exibida no portal de desenvolvedores no momento em que este post é escrito, um intruso teria se aproveitado de uma brecha de segurança na última quinta-feira para ter acesso à informações pessoais dos desenvolvedores cadastrados no portal, que foi imediatamente desligado para atualizar os servidores e reconstruir a base de dados, evitando mais problemas como este. Felizmente, as informações mais críticas armazenadas no banco de dados (como as senhas ou dados de pagamento dos usuários) estava encriptada e não poderá ser acessada, mas infelizmente dados como nomes, endereços físicos e emails podem ter sido acessados pelos intrusos. Segue a tradução literal da mensagem:
Nós voltaremos em breve.
Na quinta-feira passada, um intruso tentou coletar informações pessoais de nossos desenvolvedores registrados em nosso portal de desenvolvedores. Informações pessoais sensíveis foram encriptadas e não podem ser acessadas, no entanto, não fomos capazes de excluir a possibilidade de que algumas informações de desenvolvedores como nomes, endereços e/ou emails tenham sido acessados. No espírito de transparência, queremos informá-lo sobre o assunto. Tiramos o site do ar imediatamente na quinta-feira e temos trabalhado sem parar desde então.
Para evitar que uma ameaça à segurança como esta aconteça novamente, estamos revisando completamente os nossos sistemas de desenvolvimento, atualizando nosso software de servidor e reconstruindo todo o nosso banco de dados. Pedimos desculpas pelo inconveniente que a paralisação tenha causado e esperamos ter o site para desenvolvedores no ar de novo em breve.
Se a sua participação no programa estava definida para expirar durante este período, saiba que ela foi estendida e seus aplicativos permanecerão na App Store. Se você tiver quaisquer outras preocupações sobre sua conta, entre em contato conosco.
Obrigado pela sua paciência.
Todo o hub de desenvolvedores da Apple está em manutenção enquanto eles não tomam as medidas necessárias para garantir a segurança dos dados dos cadastrados no portal. Os usuários terão suas assinaturas extendidas para compensar os dias em que o serviço se encontrou inacessível. A transparência da Apple nesse caso demonstra maturidade por parte da empresa ao lidar com esse tipo de problema, mas teria sido ainda melhor caso a mensagem de aviso tivesse sido exibida logo que o site foi tirado do ar – os usuários estão desde a última quinta-feira sem poder acessar o portal e só hoje puderam ter informações sobre o que aconteceu. De qualquer forma, o que a gente sempre diz cada vez é mais reforçado: Não existe sistema totalmente seguro.
O pesquisador de segurança digital Ibrahim Balic disse ter descoberto a brecha poucas horas antes do site ser tirado do ar. Ele afirmou ainda que conseguiu capturar mais de 100.000 IDs de usuários da Apple através de um ataque de injeção, conforme vídeo feito por ele próprio.
