Апдейт #1. Сервис cброса пароля стал недоступен «по причине технического обслуживания». Apple не давала комментариев.
Апдейт #2.
Мы в курсе проблемы и работаем над патчем.
— Apple
[verge]
Апдейт #3. Сервис вновь заработал, и, похоже, теперь всё в порядке. Подтверждения от Apple не поступало, и не факт, что поступит. Для перестраховки мы бы рекомендовали пока не менять дату обратно. Ещё успеется.
Недоброжелатели смогут получить доступ ко всем этим сервисам от вашего имени, если вы прямо сейчас кое-что не поменяете в настройках
Обойдёмся без вступлений. Ресурсу The Verge кто-то прислал ссылку на пошаговую инструкцию по сбросу чужого пароля Apple ID. Чтобы сбросить ваш пароль и тем самым заблокировать вам доступ к вашему же аккаунту, злоумышленнику достаточно знать ваш e-mail, а также дату вашего рождения.
Вопрос номер один на данный момент — как обезопасить себя? Вчерашняя двухэтапная аутентификация — не выход: во-первых, она действует только для зарубежных аккаунтов, а во-вторых, перед её активацией вас просят подождать 3 дня (хотя — если вам удалось её включить, то этого достаточно). Поэтому сделать можно только одно: изменить дату рождения на любую другую в разделе «Пароль и безопасность» настроек Apple ID на официальном сайте (ссылка). Прокрутите страницу до конца, чтобы увидеть выпадающие списки для изменения даты.
Когда измените её, возвращайтесь за кое-какими подробностями.
Впрочем, подробностей не так много. Пароль сбрасывается на одной из страниц сервиса iForgot, а точнее, на той из них, где задаются контрольные вопросы. Вместо того, чтобы на них отвечать, злоумышленник вставляет специального вида адрес — и вуаля, меняет ваш пароль.
По соображениям безопасности мы последуем примеру The Verge и не станем публиковать ни ссылку на инструкцию по взлому, ни указанный адрес.
Ещё раз: если у вас в настройках Apple ID по-прежнему указана ваша настоящая дата рождения, поменяйте её прямо сейчас (ссылка). [verge]
Что за бред? Сегодня сбрасывал пароль Apple ID и после ввода Apple ID идет день рождение, а далее два секретных вопроса.
По крайней мере, очевидного обхода я не увидел.
@lxprost, скорее всего, подразумевается наличие уязвимости на странице с контрольными вопросами. Кнопки “Я – непонятно кто, и я хочу сбросить пароль”, конечно же, нет :)