發現一個商機，就看你有沒有本事了。幫蘋果系統找漏洞，蘋果會給你高額獎金。最近印度使用者找到“使用Apple ID登入 ”的嚴重漏洞，蘋果獎勵10萬美金，約合71.3萬人民幣。

據外媒報道，最近研究員Bhavuk Jain發現“Apple登入”功能的漏洞可以訪問連結的第三方服務上的使用者帳戶，目前次漏洞已經上報給蘋果並得到修復。

外媒《 The Hacker News》介紹，該漏洞依賴於蘋果“在從蘋果的身份驗證服務發起請求之前，先在客戶端驗證使用者”的方式。 Apple登入身份驗證過程由伺服器生成一個JSON Web令牌，第三方應用程式使用該JSON Web令牌來確認使用者的身分。

Bhavuk發現，雖然蘋果公司在發起請求之前要求使用者先登入到自己的蘋果賬戶，但在下一步的驗證伺服器上，它並沒有驗證是否是同一個人在請求JSON Web Token(JWT)。

Bhavuk表示即使你選擇隱藏你的電子郵件ID，這個漏洞同樣能夠生效。即使你選擇向第三方服務隱藏你的電子郵件ID，也可以利用該漏洞用受害者的Apple ID註冊一個新賬戶。

“此漏洞的影響非常關鍵，因為它可能允許帳戶完全洩露。許多開發人員已將Apple登入整合在一起，因此Dropbox，Spotify，Airbnb，Giphy等支援此服務的第三方均可能受到影響，”Bhavuk寫道。

在他報告了該漏洞之後，蘋果已經修復了該問題，並根據其漏洞賞金計劃向研究人員支付了10萬美元。蘋果表示，他們調查了伺服器日誌，沒有發現該漏洞曾被利用過。