La falla permitía a cualquier persona poder restablecer la contraseña de un usuario con iForgot, todo ello disponiendo simplemente de una dirección de correo electrónico y fecha de nacimiento.
De este modo, Apple ha corregido un peligroso fallo de seguridad, el cual le permitía a los hackers poder cambiar las contraseñas de un usuario de Apple, disponiendo solamente de la dirección de correo electrónico correcta y su respectiva fecha de nacimiento.
La falla podría ser explotada por los hackers para enviar una URL modificada a la página web de la compañía iForgot y, de este modo, restablecer la contraseña sin preguntas de seguridad adicionales.
Esta falla de seguridad de Apple se produce en medio de la puesta en marcha de un nuevo nivel de seguridad de iCloud para los usuarios de Apple, provocando que las cuentas de identificación requieran verificación de dos pasos para evitar que las mismas puedan ser robadas.
Según Apple, el exploit no funcionaba en las cuentas de aquellos usuarios que ya hayan activado la verificación en dos pasos, por lo que los mismos recibirán un código de 4 dígitos a través de SMS de Apple, el que les llegará a un teléfono móvil de confianza.
Los nuevos mandatos del proceso autentificación de identidad de los usuarios requiere la introducción de la contraseña y un código de seguridad de 4 dígitos a través de sus dispositivos antes de que se pueda realizar cualquier modificación a la cuenta, o la compra de cualquier producto en iTunes, App Store o iBookstore de un nuevo dispositivo.
Por último, Apple ha sugerido a varios usuarios a que esperen tres días antes de que pudieran permitir la configuración de la verificación en dos pasos, la cual de momento sólo está disponible en los Estados Unidos, Gran Bretaña, Australia, Irlanda y Nueva Zelanda.
