Výzkumník Bhavuk Jain v dubnu objevil kritickou chybu zabezpečení ve funkci Přihlášení přes Apple, která mohla mít za následek převzetí některých uživatelských účtů. Chyba byla specifická pro aplikace třetích stran, které používaly tuto funkci a neprováděly další bezpečnostní opatření.
Jain poznamenává, že funkce Přihlášení přes Apple funguje tak, že se uživatel přihlásí prostřednictvím JWT (JSON Web Token) nebo kódu vygenerovaného serverem Apple. Apple pak dává uživatelům možnost sdílet buď e-mail vázaný na jejich Apple ID nebo náhodnou e-mailovou adresu, kterou vytváří JWT. Jain zjistil, že jakmile byly vyžádány náhodné adresy pomocí JWT a podpis tokenu byl ověřen veřejným klíčem Apple, mohla být vytvořena a použita k získání přístupu k účtu. Dopad této chyby zabezpečení byl velmi kritický, protože mohl umožnit úplné převzetí účtu. Mnoho vývojářů má integrovanou tuto funkci, protože je povinná pro aplikace, které podporují přihlášení. Podle Jaina provedl Apple vyšetřování a dospěl k závěru, že pomocí této metody nebyly před opravou ohroženy žádné účty. Jain byl společností Apple odměněn za odhalení chyby částkou ve výši 100 000 dolarů.
