Met alleen een e-mailadres en geboortedatum van een persoon was het mogelijk op Apple's iForgot-site iemands Apple ID te wijzigen. Dat kon door een URL op iForgot te manipuleren. Dat werd vrijdagavond ontdekt door de site The Verge. Door het lek was er geen antwoord op de geheime wachtwoordvraag nodig, wat normaal gesproken voor het wijzigen van een wachtwoord vereist is. Mailadressen en geboortedata zijn van veel mensen op internet makkelijk te vinden.

Apple haalde de 'wachtwoord vergeten'-functionaliteit na de ontdekking enkele uren uit de lucht om het probleem op te lossen. Nadat dat zaterdagochtend was gebeurd, kwam iForgot weer beschikbaar. De exploit werd volgens iMore niet langer.

Twee-staps-verificatie

Apple voerde afgelopen week ook 'authenticatie in twee stappen' in, waarbij gebruikers behalve een wachtwoord ook een extra code die naar een mobieltje wordt gestuurd moeten invoeren. De twee-staps-verificatie is in Nederland nog niet beschikbaar.