Apple fixt beveiligingsgat in iForgot

Door een lek was het mogelijk Apple ID's te wijzigen zonder antwoord op een geheime vraag te geven.

Apple heeft zijn 'wachtwoord vergeten'-functie iForgot urenlang offline moeten halen. Dat gebeurde nadat er via The Verge een methode was opgedoken waarmee het mogelijk was om iemands wachtwoord van zijn Apple ID te wijzigen, door alleen het e-mailadres en de geboortedatum van die persoon in te voeren. Normaal gesproken is ook een antwoord op een geheime vraag nodig, maar door de bug was dat dus niet zo.

Bij de exploit was het voldoende om een webadres te manipuleren en die naar Apple te sturen. Het bedrijf heeft het lek inmiddels gedicht en de iForgot-site weer in de lucht gebracht. De exploit werkt niet meer.

Apple voerde donderdag nog twee-staps-verificatie in voor Apple ID in enkele landen, maar nog niet in Nederland. Daarbij moeten gebruikers naast een wachtwoord ook een extra code die ze op hun mobieltje ontvangen invoeren.