Sklep z aplikacjami firmy Apple okazuje się wygodnym miejscem dla nieuczciwych sprzedawców.
Od ponad tygodnia na sieci pojawia się mnóstwo informacji na temat nieuczciwych praktyk, albo wręcz hakowania kont użytkowników App Store oraz iTunes.
Zaczęło się 4 lipca, kiedy dwóch developerów wypatrzyło coś, co wyglądało jak hakowanie ocen w App Store przez nieuczciwego developera. W kategorii "Książki" 40 na 50 aplikacji należało do tego samego developera: Thuat Nguyen.
Po bliższym przyjrzeniu się sprawie okazało się, że był to wynik ataku nie na sam App Store, ale na indywidualne konta użytkowników. Niefortunne ofiary ataku znajdowały na swoim koncie nieznane im zakupy - w łącznych kwotach od 100 do 1400 dolarów. Pierwotnie problem wydawał się dotyczyć tylko amerykańskiego sklepu, ale do autorów artykułów na ten temat szybko zaczęli się zgłaszać użytkownicy z innych krajów.
Apple zareagował na sytuację w typowym dla siebie stylu - milczeniem (użytkownikom, którzy zgłaszali się do infolinii radzono zmienić hasło i usunąć z konta dane karty kredytowej). Kiedy wreszcie wydano oficjalne oświadczenie (po dwóch dniach), można się było z niego dowiedzieć, że aplikacje developera Thuat Nguyena zostały usunięte z App Store, zaś w przypadku odnotowania nieautoryzowanych zakupów na swojej karcie użytkownicy powinni zgłosić się do swojego banku i zmienić hasło.
Firma ewidentnie nie widzi żadnego problemu po swojej stronie, sugerując (nie wprost) winę klienta:
Podczas ściągania aplikacji deweloperzy nie otrzymali żadnych poufnych danych klientów iTunes. Jeśli twoje hasło albo karta kredytowa zostały skradzione i użyte w iTunes, sugerujemy kontakt z instytucją finansową i anulowanie karty oraz uzyskanie zwrotu pieniędzy za nieautoryzowane transakcje. Sugerujemy także natychmiastową zmianę hasła iTunes. Jednak 'przejmowanie' kont użytkowników na dużą skalę wydaje się cokolwiek podejrzane, sklep internetowy (zwłaszcza największy sklep internetowy), powinien mieć mechanizmy zabezpiecząjące przed takimi sytuacjami. Trudno jest uniknąć jednostkowych przypadków przejęcia konta lub hasła, zwłaszcza przy skali, o której tutaj mówimy (ponad 200 tys. aplikacji). Pytanie tylko, czy faktycznie problem w tym przypadku jest lokalny.
Niepokojące są także odkrycia, których dokonali blogerzy zajmujący się tematem. Zlokalizowali oni co najmniej kilku innych sprzedawców działających w podobny sposób - co zabawne, potrafią to być firmy nie posiadające własnej strony domowej, a nawet opisu, zaś ikony aplikacji biorą z losowych obrazków ściągniętych z sieci. Jednocześnie, Apple ma długą historię niejasnej politykę akceptacji aplikacji - często są one odrzucane z błahych lub dziwnych powodów. Szkoda że mechanizm ten działa tak słabo kiedy chodzi o oszustów.
Cała sytuacja jest kolejnym przykładem na to, że gigant z Cupertino coraz bardziej nie radzi sobie z bezpieczeństwem - ani swoich produktów, ani klientów. Pytanie, czy w końcu zaboli go to na tyle, aby podjął próbę poważnej zmiany.
[via TNW]
Maciej Starzycki
