Apple heeft een beveiligingslek in zijn website om wachtwoorden te herstellen opgelost. Gisteren bleek dat het mogelijk was om met alleen het e-mailadres en de geboortedatum van een gebruiker het wachtwoord opnieuw in te stellen.
Het lek werkte door een aangepaste URL te plakken in de iForgot-website, iets wat iedereen wel zou kunnen. Door deze URL te plakken werden de beveiligingsvragen, die normaal beantwoord moeten worden, overgeslagen en kon dus het wachtwoord zonder veel moeite aangepast worden.
Apple haalde vrij snel na het bekend worden van het probleem de iForgot-website offline. Inmiddels is het lek opgelost en is het gewoon weer mogelijk om een vergeten wachtwoord te herstellen.
Het lek verscheen slechts twee dagen na de introductie van two-factor authentication van Apple. Gebruikers die deze vorm van authenticatie hebben ingeschakeld, waarmee naast een gebruikersnaam en wachtwoord ook ingelogd moet worden met een code verstuurd naar een iOS-apparaat, waren niet vatbaar voor het lek. In Nederland is two-factor authentication van Apple nog niet beschikbaar.
4 minuten geleden
