Apple, cracker colpisce il sito per developer

Apple si trova a fare i conti con un attacco cracker. Sebbene per giorni la cosa si stata lasciata sotto silenzio per coprire quanto stesse accadendo, il gruppo ha infine reso noto l’attacco subito ed al momento non è ancora del tutto fugata la possibilità per cui alcune informazioni possano anche essere state trafugate dai server sotto attacco.

Il sito per developer è l’importante riferimento con il quale Apple raccoglie gli sviluppatori attorno ai propri prodotti (da iOS a OS X), elargisce Software Developer Kit e forma la community di supporto per quanti intendono dar vita ad applicazioni e software per i prodotti di Cupertino. Per alcuni giorni il sito è stato irraggiungibile: Apple ha formalmente fatto sapere che erano in corso alcune operazioni di manutenzione straordinaria, senza ulteriori approfondimenti. La durata del black-out aveva però già sollevato i primi dubbi, i quali hanno trovato nel weekend puntuale conferma: i server erano in realtà sotto attacco.

Nella giornata di giovedì si sarebbe infatti registrata una violazione delle barriere di sicurezza del gruppo, tanto da consigliare cautelativamente il blocco delle attività per verificare immediatamente quanto accaduto. I tecnici avrebbero poi provveduto ad aggiornare i sistemi interessati, al fine evidente di risolvere una qualche forma di vulnerabilità riscontrata.

Quel che al momento non è ancora noto è quale tipo di bug possa essere stato sfruttato, quali possano essere i sistemi aggiornati e quale sia stata la mancanza che ha consentito ad un cracker di accedere ad un database tanto prezioso quanto quello della community di developer di Cupertino. Il sito è tornato ora online in stato di normale attività, ma le informazioni da Apple sono ancora estremamente scarse. Tutto quel che è trapelato è esclusivamente nell’unica comunicazione ufficiale diramata a seguito di email inviata agli iscritti ai programmi per developer:

Le informazioni sensibili erano crittate e non è possibile avervi accesso, tuttavia non possiamo escludere la possibilità che il nome di alcuni sviluppatori, i loro indirizzi email possano essere stati sottratti. In spirito di trasparenza, vi abbiamo informati sul problema. Abbiamo immediatamente interrotto le attività del sito giovedì ed abbiamo lavorato sul problema fin da allora.

Le scuse e le puntualizzazioni non spiegano però ancora un elemento cardine: perché attendere tre giorni prima di notificare agli utenti l’accaduto? Perché non rispondere con ancor maggior radicalità ad un principio di trasparenza, consentendo agli utenti di tutelare le proprie email con effetto immediato invece che con tre giorni di ritardo?