El servicio de recuperación de contraseñas iForgot de Apple, que permite recuperar y cambiar las contraseñas de las ID de Apple, ha permanecido cinco horas y media fuera de línea desactivado voluntariamente por Apple tras descubrirse un problema de seguridad por el que un atacante podía secuestrar una cuenta conociendo la dirección de correo electrónico del usuario y su fecha de nacimiento.
El proceso implicaba el crear y pegar en la barra de dirrecciones del navegador una URL especialmente formada con la fecha de nacimiento del propietario de la cuenta en la página de recuperación de la contraseña. Irónicamente, el único método de defensa contra esto es la autentificación en dos pasos, que Apple ya ha comenzado a desplegar pero que está de momento solo disponible en algunos países.
Después de varias horas fuera de línea, el servicio iForgot fue restaurado. Apple ha sido bastante rápida a la hora de resolver el asunto, ya que la vulnerabilidad fue expuesta de forma pública con un tutorial paso a paso que aparentemente no ha sido aprovechado para secuestrar cuentas, no al menos de forma notoria.
iForgot, el servicio de recuperación de contraseñas, está ya en funcionamiento.
Creo que Apple se está tomando muy en serio los temas de seguridad que antes tenía bastante dejados de la mano de Dios. Ese halo de invulnerabilidad era falso como lo es siempre todo en informática, y ahora parecen conscientes de ellos.