Apple kommentiert iCloud-Hack (Update)

| 15:59 Uhr | 12 Kommentare

Über das Wochenende wurde bekannt, dass der iCloud-Account des Journalisten Mat Honan gehackt wurde. Dabei erriet der Hacker nicht etwa das Passwort oder machte sich die Brute-Force-Methode zu Nutze. Das Sicherheitsloch lag vielmehr beim Apple Kundendienst. Ein Anruf beim Apple Support sowie das Beantworten einfacher Fragen ermöglichten es dem Hacker das Passwort des iCloud-Accounts zurück zu setzen und diesen zu kompromittieren.

Die Rechnungsanschrift sowie die letzten vier Ziffern der Kreditkarte eines Nutzers ermöglichen es, den Account zu übernehmen. Wired hat sich an Apple gewandet und folgende Äußerung erhalten:

“Apple takes customer privacy seriously and requires multiple forms of verification before resetting an Apple ID password. In this particular case, the customer’s data was compromised by a person who had acquired personal information about the customer. In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.”

Mit anderen Worten: Apple nimmt die Sicherheit seiner Nutzer sehr ernst und nutzt mehrere Schutzmechanismen, bevor ein Passwort zurück gesetzt wird. In diesem Einzelfall konnte der Account zurück gesetzt werden, indem persönliche Daten des Nutzers bekannt waren. Zudem hat Apple heraus gefunden, dass der Apple Support Mitarbeiter die internen Sicherheitsrichtlinien nicht vollständig beachtet hat.

Interessanterweise war es Wired am gestrigen Montag  abermals möglich, einen fremden Account über den Apple Support zu kompromittieren. Die Rechnungsanschrift eines Anwenders lässt sich schnell herausfinden, bei der Kreditkartennummer musste Wired den Umweg über Amazon nehmen. Da bei Amazon die letzten vier Ziffern der Kreditkarte nicht „verschlüsselt“ werden, war dies grundsätzlich möglich. Zwei Anrufe beim Amazon Support führten zum Ziel. Mit dem ersten Anruf wird eine zweite Kreditkartennummer einem Amazon-Account hinzugefügt (Rechnungsadresse, Name und eMail reichen). Mit dem zweiten Anruf wird eine zweite eMail Adresse im Amazon Account hinterlegt, indem als Sicherheit die soeben hinzugefügte Kreditkartennummer hinterlegt wird.

Update 08.07.2012 09:53Uhr: Nachdem mindestens zwei Fälle bekannt wurden, bei denen eine unberechtigte Person per Telefon das Passwort eines fremden iCloud Accounts zurücksetzen und diesen kompromittieren konnte, stoppt Apple das Zurücksetzen des Passworts per Telefon.

An Apple worker with knowledge of the situation, speaking on condition of anonymity, told Wired that the over-the-phone password freeze would last at least 24 hours. The employee speculated that the freeze was put in place to give Apple more time to determine what security policies needed to be changed, if any.

Wie Wired berichtet, hat Apple für mindestens 24 Stunden das Prozedere unterbrochen, um sich detaillierte Gedanken zu der Materie machen zu können.

Kategorie: Apple

Tags: , ,

12 Kommentare

  • Marc

    Der Apple Mitarbeiter, der die Sicherheitslinien nicht alle korrekt befolgt hat, gehört entlassen!

    07. Aug 2012 | 16:21 Uhr | Kommentieren
    • Tom

      Genau! Daumen hoch oder runter, so wie früher in der guten alten Zeit. Soll ich schon mal die Löwen rauslassen? Gott sei Dank, mach ich bei meiner Arbeit überhaupt keinen Fehler.

      Wer glaubt, dass seine Daten bei einem Unternehmen, besser geschützt sind als bei sich persönlich, glaubt auch, dass Zitronenfalter Zitronen falten.

      Davon abgesehen zeigt das Besipiel, dass jeder auf seine Daten höllisch aufpassen muss. Andere tun das nämlich nicht für einen. Warum sollten die auch? Im Vergleich mit übrigen Skandalen und Skandälchen auf dieser Welt, ist ein gehackter Account für viele nur ein Achselzucken Wert.

      Meiner Meinung nach.

      07. Aug 2012 | 17:13 Uhr | Kommentieren
  • Jacobus21

    Der Artikel ist sowas von grottenschlecht geschrieben. Man merkt sofort, dass der Autor ein Apple-Fan ist.

    07. Aug 2012 | 16:31 Uhr | Kommentieren
    • stony7477

      in einem apple blog darf man da kein apple fan? warum sollte sich das ausschließen!

      07. Aug 2012 | 17:03 Uhr | Kommentieren
    • Josch

      Der Betreiber und Autor dieser Seite beschäftigt sich mit dem Thema Apple, macht das mit Spaß und Begeisterung und verdient mit den Bannern höchstwahrscheinlich nicht nennenswert mit dieser Seite. Jetzt stellt sich auch noch raus, dass er ein Apple-Fan ist. Skandalös! *LOL*

      Warum liest Du hier mit? Um rumzunölen?

      Hier wird klar berichtet, dass der Fehler bei Apple in Kombination mit Amazon liegt und obendrein auch noch, dass es Wired trotzt des Vorfalls gelungen ist, das zu wiederholen. Da kommt Apple so richtig gut bei weg. Mannomann. Hast Du den Artikel überhaupt gelesen?

      07. Aug 2012 | 18:45 Uhr | Kommentieren
      • Luigi

        Also wenn Jakobus Ton nicht ganz angemessen ist, so hat er doch teilweise recht. Ich bin grundsätzlich zufrieden mit macerkopf, bekomme ich doch alle wichtigen Neuigkeiten zu IPhone und Co mit, aber es ist schon sehr einseitig geschrieben. Mir fehlt einfach ein bisschen die Objektivität und Kritik.

        08. Aug 2012 | 10:17 Uhr | Kommentieren
    • DAMerrick

      Woran?
      Es wird detailliert beschrieben wie einfach es ist den Account zu knacken. Machst du es etwa an dem übersetzten Zitat fest?
      Was soll er denn schreiben?!

      Social Cracking ist überall ein Problem. Hat jeder schon mal eingesetzt und ist eines der Sicherheitsrisiken die nie ganz ausgemerzt werden können.

      08. Aug 2012 | 14:16 Uhr | Kommentieren
      • Jürgen

        Finde den Artikel Super. Im BMW Forum nölt man ja auch nicht drüber, das nur über BMW geschrieben wird. Das gleiche gilt für Daimler. 😉

        Macht weiter so.

        08. Aug 2012 | 19:35 Uhr | Kommentieren
  • Soliva

    Meiner Meinung nach sollten die Accounts mit mehreren persönlichen Fragen geschützt werden. Außerdem wäre es wie bei Facebook, ziemlich interessant wenn man einen Code per SMS bekommt und dadurch sich in Falle eines Falles einloggen könnte.

    07. Aug 2012 | 19:47 Uhr | Kommentieren
    • DAMerrick

      Warum ist dies eigentlich ncht der Fall?
      Wenn ich den Account online zurücksetzen will muss ich eine persönliche Frage beantworten. Und da ist Apple sogar führend, denn im Gegensatz zu anderen Unternehmen muss ich mir die Frage auch noch selbst ausdenken.
      Wieso diese Frage nicht am Telefon abgefragt wird, bleibt wohl ein Rätsel.

      08. Aug 2012 | 14:18 Uhr | Kommentieren
      • Jürgen

        Bei Apple Care ist das der Fall. Ich wurde danach gefragt.

        08. Aug 2012 | 19:38 Uhr | Kommentieren

Schreibe einen Kommentar zu DAMerrick Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert