Home » Apple » Security-Schwächen bei Apple und Amazon – der Mat Honan Hack

Security-Schwächen bei Apple und Amazon – der Mat Honan Hack

Wie am Wochenende bekannt wurde, wurde der iCloud Account des ehemaligen Gizmodo-Bloggers Mat Honan gehackt. Über den iCloud-Account wurde auch der Twitter-Account von Gizmodo kompromittiert. An sich nichts besonderes, es finden sich immer ein paar unreife Hacker, die sich an solchen Accounts ausprobieren. Sehr viel erschreckender ist, dass der Hacker weder einen Brute-Force-Angriff durchgeführt oder das Passwort erraten hat, sondern sich eine fundamentale Sicherheitslücke bei Apple und Amazon zu Nutze machen konnte.

Was passiert ist

Der Hacker nutzte ein Sicherheitsloch im Kundendienst von Apple, um Honans iCloud-Account zurückzusetzen und zu übernehmen. Die Adresse des Users sowie die letzten vier Ziffern der Kreditkarte reichten dem Mitarbeiter von Apple, um bei Anruf des Hackers den Account zurückzusetzen.

Nun sind es gerade diese letzten vier Ziffern, die bei Amazon und PayPal nicht als wichtig genug erachtet werden um verschlüsselt zu werden. Mit anderen Worten: Was bei Apple für ausreichend erachtet wird, um die Identität eines Users zu bestätigen, wird bei Amazon und PayPal nicht ausreichend geschützt. Diese Ziffern sind also relativ einfach in Erfahrung zu bringen, der Wohnsitz ist sowieso bei vielen öffentlich. Bei vielen Usern ist es möglich, über den iCloud und die damit verbundene eMail-Adresse auch Zugang zum Google-Account zu bekommen. Von da hätten Hacker dann Zugriff auf alle möglichen Informationen. Außerdem nutzte der Hacker den Zugang zu Honans iCloud-Account, um dessen Mac und iPhone komplett zu löschen. Es handelt sich also nicht um einen „ungefährlichen“ Hack.

Apples Reaktion

Inzwischen liegt auch eine Reaktion von Apple vor. Wired hat sich an Apple gewandt und das folgende Statement erhalten:

Apple takes customer privacy seriously and requires multiple forms of verification before resetting an Apple ID password. In this particular case, the customer’s data was compromised by a person who had acquired personal information about the customer. In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.

Der Vorfall hat also dazu geführt, dass das Prozedere für das Zurücksetzen des Accounts überprüft wird. Zudem hat der Support-Mitarbeiter scheinbar nicht alle Sicherheitsvorschriften von Apple beachtet.

Wie man sich schützen kann

Erstmal: Es ist unwahrscheinlich, dass der normale Nutzer Ziel einer solchen Attacke wird. Mat Honan steht als Journalist und Blogger im Licht der öffentlichen Aufmerksamkeit, es war von daher wohl auch nicht schwer, die erforderlichen Informationen in Erfahrung zu bringen. Dennoch: Jeder iCloud-Account ist gefährdet, solange Apple und Amazon nicht reagieren. Um sich zu schützen, sollte man jegliche Querverbindungen zwischen Accounts vermeiden. Mit anderen Worten: Verschiedene Kreditkarten nutzen und keine eMail-Adressen anderer Anbieter zur Passwort-Recovery einsetzen. Es wäre auch eine Überlegung wert, die Fernlöschfunktion der iCloud zu deaktivieren.

Es handelt sich nicht um eine kleine Sicherheitslücke, sondern ein Problem, das die ganze IT-Branche betrifft und das mit ein wenig Pech den Zugang zu einer Vielzahl an Informationen erlaubt.

 

(via Wired, Gizmodo)

 

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.


10 Kommentare

  1. Völlig übertriebener Artikel und bitte alles aus der Stellungnahme von Apple übersetzen!

  2. Ich habe noch nie wörtlich übersetzt und werde jetzt auch nicht damit anfangen, da ich unseren Lesern zumindest ein Grundverständnis der englischen Sprache zutraue. Der Text darunter stellt keine Übersetzung dar, sondern lediglich die „Ergebnisse“ des Statements. Würde ich wörtlich übersetzen müsste ich ja nicht zitieren.

    Des weiteren wüsste ich gerne, wo genau ich übertrieben habe.

  3. @ Alex:

    mach dir keinen Kopf. Der Artikel ist so wie er ist absolut in Ordnung! =)

  4. Danke :D

    Ich mach mir keinen Kopf. Ich finde nur, wenn man etwas anzumerken hat, sollte man das fundiert tun, sonst kann ich nicht wirklich darauf eingehen… ;)

  5. Ok, dann mal der aus meiner Sucht wichtigste Satz aus Apples Stellungnahme: Die Daten waren gefährdet durch das Wissen persönlicher Informationen. Liest man den verlinkten Quellartikel noch dazu, bemerkt man weitere Fehler von Honan selbst. Viele verschiedene Faktoren spielten damit eine Rolle und nicht nur ein Fehler von Apple. Das rückt die „Story“ meines Erachtens in ein komplett anderes Licht.
    Diese Art von Journalismus war früher meist nur Boulevardblättern, vornehmlich der BILD, „vorbehalten“. Zwischenzeitlich greift dies im Netz und meist in Blogs, auch durch ständiges, gegenseitiges Abschreiben ohne selbst nachzuforschen, um sich.

  6. Man, @Neu@, bleib doch einfach diesem Block fern.
    Es zwingt doch auch niemanden die Bildzeitung zu lesen.
    Aber besserwisserisches und destruktive Gerede bringt hier auch niemanden weiter.

  7. Du hast ein seltsames Demokratieverständnis. Wenn jemand Kritik übt, soll er gehen?
    Was war da besserwisserisch oder destruktiv? Genau das Gefenteil ist der Fall!
    Wenn die Menschheit nicht weiter gedacht hätte, säße sie jetzt noch auf den Bäumen.

  8. Zitat Neu :

    Ok, dann mal der aus meiner Sucht wichtigste Satz aus Apples Stellungnahme: Die Daten waren gefährdet durch das Wissen persönlicher Informationen. Liest man den verlinkten Quellartikel noch dazu, bemerkt man weitere Fehler von Honan selbst. Viele verschiedene Faktoren spielten damit eine Rolle und nicht nur ein Fehler von Apple. Das rückt die „Story“ meines Erachtens in ein komplett anderes Licht.

    Bis hierher war alles Ok, aber dann folgende Sätze;

    Diese Art von Journalismus war früher meist nur Boulevardblättern, vornehmlich der BILD, „vorbehalten“. Zwischenzeitlich greift dies im Netz und meist in Blogs, auch durch ständiges, gegenseitiges Abschreiben ohne selbst nachzuforschen, um sich.

    Alles was Hier zu lesen ist besserwisserisch !!
    Eine Kritik aus zu üben ohne Konstruktive Erklärungen wie man es besser machen kann finde ich schon sehr destruktiv.

  9. Dann verstehst du leider kein Deutsch. Ich rate dir zu einem entsprechenden Kurs.

  10. Zitat Neu :

    Dann verstehst du leider kein Deutsch. Ich rate dir zu einem entsprechenden Kurs.

    Sehr konstruktiver Spruch muss ich schon sagen, aber wissen sich kleine Geister nicht weiter zu helfen dann kommen sie mit diesen Sprüchen.
    Kritik ausüben ist einfach aber welche einzustecken ist schwer.
    Und noch etwas.
    Das ist hier ein Block und nicht das Time Magazine.