今日稍早,Apple ID 的密碼重設功能 iForgot 被發現存在嚴重的安全性漏洞,允許有心人士只需要你的 Apple ID 和生日,便可以透過一串特殊的網址跳過安全性提問,直接重設密碼,進而取得帳號的控制權。
在外媒曝光消息後不久,蘋果方面也正式承認了此一漏洞,並將 iForgot 網頁下線進行修補,約五個半小時後,iForgot 網頁重新上線,所有服務正常運作,漏洞也確認已被封堵;目前所知,並沒有使用者受到影響。
其實蘋果這幾天已經開始為 Apple ID 以及 iCloud 啟用更安全的兩步驟認證:欲登入 Apple ID 時,使用者還需要輸入蘋果即時傳送到可信任裝置上的額外四碼 PIN,大大降低帳號被盜用的機率;而啟用兩步驟認證的使用者也可另外建立一串復原用的金鑰,以在忘記帳號密碼或裝置丟失時使用(相較起來反而不安全的安全性提問已被廢除)。
via iMore