身为 Apple 应用程式开发者的你,是否已经受够该公司的开发者网站停机数日的问题了呢?苹果在今天为此提出解释,会有此状况主要是因为网站有被入侵窃取个人资料的情况,而该公司在发送给开发者的邮件中亦补充道,在这次攻击中较敏感的个人资料均是被加密且没有被存取的,但还是无法排除部分开发者的姓名、电子邮件地址被入侵存取的可能性,所以决定暂时关闭开发者入口网站(说暂时也过了好一阵子了...),进行相关资料库与服务器的重整与更新,并且在网站的公告上确保在此期间过期的 App 将会被延后执行。
尽管 Apple 对 MacWorld 网站表示客户的资料,甚至是 App 的代码内容"都没有"在此次的攻击中遭窃,但 9to5Mac 网站则是刊出了一篇网络安全专家 Balic 的测试结果 -- 基本上开发者中心的漏洞仅需通过简单的 unescaped injection 攻击,即可突破取得用户的姓名、Apple ID、使用者 ID 的电子邮件地址,更夸张的是范围还不仅止于"开发者"而已 -- 一般使用者的资料也可以透过此漏洞进行窃取。Balic 声称在这次的实验中,他就从资料库倒了超过 10 万笔的使用者资料出来 -- 别担心,他也声称所有取得的资料都只是用于证明漏洞存在以及严重程度而已,这些资料在回报给 Apple 此漏洞之后也将删除。
由这次的事件可以得知,虽然 App Store 看起来似乎依旧安全,但通过这样的个人资料漏洞,有心人士也许不见得需要攻击应用商店本身,仍有机会造成 App 的最源头也就是开发者的混乱。此次的个人资料泄露的层级也许真的不至于会形成什么危机(毕竟要是牵扯到了信用卡信息就真的麻烦大了),但对于开发者乃至于一般使用者而言,Apple 服务对个资保全的强度以及危机处理速度的印象分数应该都不会太好才是。
