Apple heeft beveiligingsonderzoeker Bhavuk Jain 100.000 dollar (zo'n 90.000 euro) betaald voor de ontdekking van een beveiligingslek in Inloggen met Apple. Door het beveiligingslek konden accounts door kwaadwillenden worden overgenomen.

Jain legt op zijn blog uit hoe hij via een zero-daykwetsbaarheid (een kwetsbaarheid die onbekend is bij de ontwikkelaar van de software) misbruik kon maken van Inloggen met Apple.

Met deze functie kunnen gebruikers met een Apple ID inloggen bij diensten zoals Spotify, TikTok of Etsy. De gebruiker hoeft bij de betreffende dienst dan alleen maar op de Inloggen met Apple-knop te drukken en niet opnieuw zijn gegevens in te vullen.

Via dit inlogsysteem kon Jain toegang krijgen tot een Apple-account. Met alleen het e-mailadres van een gebruiker kon hij een inlogtoken krijgen en verifiëren bij Apple. Als je zo'n inlogtoken gebruikt, hoef je het wachtwoord van het account niet in te vullen en kun je het account dus overnemen.

Jain heeft het beveiligingslek in april bij Apple gemeld. Het bedrijf is toen meteen gestart met een onderzoek en heeft het lek inmiddels gedicht. Volgens Apple is er geen misbruik gemaakt van de kwetsbaarheid.

Wanneer iemand een beveiligingslek in de software van Apple ontdekt, wordt er in sommige gevallen een beloning uitgekeerd.