I april upptäckte webbutvecklaren och buggjägaren Bhavuk Jain en dag noll-bugg i Logga in med Apple som påverkade tredjepartsapplikationer som använde sig av inloggningstjänsten och inga ytterligare säkerhetsmetoder.

Genom att bara ha tillgång till en användares mejladress kunde en anfallare utnyttja buggen för att få full tillgång till dess konton, oavsett om offret hade ett giltligt Apple ID eller inte.

Tjänster som använder Logga in med Apple är exempelvis Dropbox, Spotify och Airbnb. Dessa tjänster i sig testades däremot inte av Bhavuk Jain, men kan ha varit sårbara om de inte använder sig av ytterligare säkerhetsmetoder utöver Logga in med Apple.

Bhavuk Jain rapporterade buggen till Apples säkerhetsteam som nu patchat bort den. De sökte också igenom sina loggar och konstaterade att inga konton ska ha påverkats till följd av buggen. Som ersättning för sin upptäckt betalade Apple ut 100 000 dollar till Jain, motsvarande cirka 950 000 kronor.

Läs också: Bugg eller medveten ändring stoppar klonbackuper av Mac OS 10.15.5