Einem Sicherheitsexperten gelang es, über eine Race Condition und zahlreiche IPs bestimmte Apple-IDs zurückzusetzen. Angeblich waren auch iPhone-PINs bedroht. Ein indischer Sicherheitsforscher hat ein Zugriffsproblem in Apples iCloud entdeckt, über das Accounts übernommen und womöglich sogar Codesperren von iOS- und iPadOS-Geräten entziffert werden konnten. Das Verfahren ist zwar komplex, konnte von Apple jedoch nachgestellt werden. Laxman Muthiyah nutzte eine Kombination aus insgesamt 28.000 IP-Adressen, um bis zu eine Million Anfragen an Apples sogenannte iForget-Server zu senden, der über das Web erreichbar ist. Er dient zur Rücksetzung des Passworts. Die iForget-Server waren weltweit über sechs verschiedene IP-Adressen ansprechbar, die der Sicherheitsforscher dann mit Anfragen bombardierte. Damit gelang es Muthiya, den sechsstelligen Zwei-Faktor-Authentifizierungscode zu erraten, mit denen iCloud-Accounts eigentlich vor Übernahmen geschützt werden sollen.
