Еще в Апреле индийский специалист по кибербезопасности Бхавук Джайн, обратил внимание, что в системе авторизации «Вход в Apple», есть уязвимость,которая позволяла получить доступ к сторонним сервисам.
Относительно не давно была запущена функция "Вход через Apple". По словам компании нужна для контроля и сохранения личных данных. При входе в программу нужно было вести свои данные. Но Джайн заметил что после ввода данных Apple ID не проверяла, запрашивает ли ключ JSON Web Token (JWT) тот же пользователь.
Индийский специалист предположил, что из-за отсутствия проверки, сервера Apple можно было заставить генерировать конкретные токены на аккаунт.
Джайн после обнаружения уязвимости, рассказал об этом компании и она заплатила ему $100 тыс.
По словам компании после устранения было проведено расследование, в результате которого стало ясно, что от данной уязвимости никто ещё не успел пострадать.
Вот так, внимательность Джайна спасла от рук злоумышленников, владельцев продукции Apple, но и ещё принесла очень хорошие деньги.