مرحبا، قامت شركة Apple بتسديد مكافأة قدرها 100،000 دولار أمريكي إلى Bhavuk Jain مقابل ثغرة أمنية وجدها ضمن إمكانية "تسجيل الدخول باستخدام Apple" الموجودة في بعض مواقع الويب وتطبيقات الجهات الخارجية third-party applications. قد يسمح الخطأ لمستخدم الثغرة بالسيطرة على حساب المستخدم بالكامل.
يكمن هذا الخلل الذي يسبب ضعف الأمان بسبب الطريقة التي تتحقق بها خوادم Apple من حساب مستخدم أثناء عملية "تسجيل الدخول باستخدام Apple". عند تسجيل الدخول ، يتم استخدام رمز JSON Web Token لمصادقة الحساب ، و يمكن أن يحتوي هذا الرمز المميز على عنوان البريد الإلكتروني لمعرف Apple الخاص بالمستخدم بناءً على الخيارات المحددة.
وجد Jain أنه يمكن طلب JSON Web Token لأي حساب Apple شرعي و سيتم التحقق من صحة التوقيع في كل مرة. احتاج المخترق فقط إلى معرفة عنوان البريد الإلكتروني المرتبط بمعرف Apple للحصول على رمز مميز تم التحقق منه والحصول على حق الوصول إلى الحساب. من المحتمل أن تكون الحسابات التي تستخدم المصادقة الثنائية (2FA) محمية من ناقل الهجوم هذا.
خلال عملية التفقد ، قامت Apple بمراجعة سجلات الخادم ولم تجد أي دليل على أن أي شخص قد استغل هذا الخلل.
برامج المكافآت هي طريقة مبتكرة لشركات التكنولوجيا لتشجيع قراصنة القبعات البيضاء (أصحاب الهاكر الأخلاقي) في محاولة للعثور على نقاط الضعف في برامجهم. يتم الإبلاغ عن هذه العيوب وتصحيحها قبل الإعلان عن الخطأ. على الرغم من أن العديد من الشركات رفيعة المستوى لديها برامج مكافأة ، إلا أنه لا يتم دفع المكافآت الأكثر أهمية في كثير من الأحيان لأنها مخصصة لنقاط الضعف الهامة والحرجة.