Az Apple csütörtökön kezdte el aktiválni a felhasználóknál a kétlépcsős azonosítást, hogy fokozza a felhasználói fiókok biztonságát. Azt senki nem gondolta volna, hogy akinél nincs bekapcsolva, az a lehető legkomolyabb veszélyben van: teljes körűen hozzá lehetett férni adataihoz, meg lehetett változtatni jelszavát, így az ő bankkártyája terhére vásárolni is lehetett az App Store-ban, illetve ha valaki már bejutott a webes felületen a fiókjába, akkor távolról törölhette az iPhone-okon, iPadeken és Mac gépeken tárolt összes adatot - anélkül, hogy az érintett felhasználónak bármilyen esélye lett volna beavatkozni a folyamatba.

A Verge által felfedezett biztonsági rés kihasználásához csupán a célszemély Apple ID-nek használt email címét és születési dátumát kellett ismerni. A két adatot a jelszó elfelejtése esetén használandó visszaállító oldal URL-jének kis módosítása után megnyitott oldalon kellett megadni, és a támadó máris megadhatta a felhasználói fiók új jelszavát - anélkül, hogy a régit is elkérte volna tőle az Apple -, így átvehette a fiók felett a hatalmat.

Az Apple a hiba felfedezése után néhány órával felfüggesztette a jelszóvisszaállítás lehetőségét, így a biztonsági rés már nem kihasználható, valószínűleg dolgoznak azon, hogy a lehetőség újbóli megnyitása után sem legyen az.

Hasonló sebezhetőséget észleltek tavaly ősszel a Skype-nál is, a hiba ideiglenes megoldásaként akkor a Microsoft is felfüggesztette a jelszóvisszaállítás lehetőségét.