De Zweedse krant Dagens Nyheter bericht op haar website dat een Zweeds bedrijf een ernstig beveiligingslek rondom Apple-ID’s heeft ontdekt. Shootitlive, dat in Stockholm is gevestigd, stuitte vrijdagochtend bij toeval op het probleem en heeft hierop direct Apple ingelicht. Het betreft een probleem dat zich voordoet tijdens het inloggen met je Apple-ID. Volgens Shootitlive kunnen anderen op hetzelfde netwerk binnen 10 seconden toegang krijgen tot jouw Apple-ID en dus al jouw informatie.

Het probleem ontstaat omdat de gegevens van een inlogsessie opgeslagen zijn in de url van een website, in plaats van in een cookie. Hierdoor kunnen sessies hergebruikt worden en zo kan toegang worden verkregen tot de Apple account van iemand anders. Gevaarlijke boel, als je je bedenkt dat veel mensen een creditcard aan hun account gekoppeld hebben. Om te voorkomen dat jouw Apple-ID gekaapt wordt, raadt Shootitlive af om op verdachte links te klikken om vervolgens in te loggen met je Apple-ID. Ook het delen van eigen links waar je ingelogd bent met een Apple-ID is af te raden.

De mannen van Shootitlive ontdekten het lek bij toeval toen zij iMessage op hun mac probeerden te gebruiken. Vervolgens gaven tests op een andere netwerken hetzelfde resultaat. Nadat zij op vrijdagmorgen een e-mail stuurden naar Apple, kregen ze diezelfde avond het verzoek van Apple om meer informatie over het ontdekte beveiligingsrisico naar het bedrijf te sturen.

Ondertussen besloot Shootitlive het verhaal online te zetten, inclusief stappen om het lek zelf uit te testen. Kort daarna verdween dit stappenplan, maar het publiceren van een gevaarlijk lek als dit kwam het bedrijf op veel kritiek te staan. Shootitlive verdedigt zich door te zeggen dat dit lek te eenvoudig te misbruiken  is om te negeren en wil zo snel mogelijk kennis verspreiden over het beveiligsrisico. Apple heeft nog geen statement gegeven over het lek.