Apples Entwicklerportal erlaubte Zugriff auf fremde Daten

Millionen Entwickler und Musik-, Video- und E-Book-Produzenten nutzen Apples Portal iTunes Connect, um ihre Apps und anderen Inhalte in den verschiedenen Online-Läden des iPhone- und Mac-Herstellers zu publizieren und zu verwalten. In der Nacht zum Freitag kam es auf der Seite zu schwerwiegenden Problemen bei der Nutzerverwaltung, wie Developer auf Twitter berichteten.

Der Bug: Nach dem Login landeten User plötzlich nicht in ihrem eigenen Account, sondern im Profil eines anderen, offenbar völlig zufälligen Developers – darunter auch große Unternehmen. So bekam der Entwickler Philip Bernstein plötzlich das Profil des TV-Konzerns Viacom (Nickolodeon, VH1) serviert, Developer Bay Phillips erhielt Zugriff auf die Daten des Handyherstellers Blackberry und Tapbots-Developer Paul Haddad bekam den Account des US-Steuerberatungskonzerns H&R Block zu sehen.

Ganzes Ausmaß noch nicht klar

Derzeit ist unklar, ob es auch möglich war, tatsächlich Daten zu ändern. MacRumors schreibt, Versuche, eine der fremden Apps zu bearbeiten, seien mit einem "Unable to process request"-Fehler quittiert worden, woraufhin man im korrekten Account landete. Developer berichten aber, dass das falsche Profil unter anderem Zugriff auf private E-Mail-Adressen und andere Details Fremder erlaubte. Schon das wäre ein schwerwiegendes Sicherheitsproblem. Verkaufs- und Zahlungsinformationen sollen laut MacRumors aber offenbar nicht sichtbar gewesen sein.

Apple reagierte recht schnell auf den Bug – wenn auch mit einer Radikalmethode: iTunes Connect wurde schlicht abgedreht, ein erneuter Login betroffener Entwickler war nicht möglich. Auf der Systemstatus-Website von Apple war zu lesen, dass iTunes-Connect-Nutzer derzeit "Probleme" hätten.

Mittlerweile ist das Portal wieder online. Eine Stellungnahme des Unternehmens steht noch aus. Developer sollten ihr eigenes Profil schnellstmöglich überprüfen. (bsc)