Social Engineering: Apple Care ermöglichte Hacker Zugriff auf fremden iCloud-Zugang

[Christian Blum]

Da hilft auch kein gut durchdachtes Passwort mehr: Durch geschickte Gesprächsführung gelang es einem Hacker, sich Zugang zum iCloud-Konto des ehemaligen Gizmodo-Autoren Mat Honan zu verschaffen. In seinem Blog beschreibt der Geschädigte den Verlauf des Vorfalls: Zunächst habe sich jemand in sein iCloud-Konto eingeloggt. Von dort aus habe man zwei Twitter-Accounts übernommen, den Google-Mail Account gestohlen und sämtliche iDevices sowie ein MacBook per Fernlöschung vorübergehend unbrauchbar gemacht.[PRBREAK][/PRBREAK]

Natürlich lag der Fehler auch bei Honan: Durch die Verlinkung sämtlicher Dienste gelang es dem Hacker, sich von einem Zugang zum anderen zu hangeln, ohne dabei auf größeren Widerstand zu stoßen. Doch allein die Tatsache, dass das Apple Care-Team sich derart hat beeinflussen lassen, wirft Fragen auf. Wieso ist es möglich, vorbei an sämtlichen Daten einfach so den Zugang erhalten zu können? Warum gibt es (anscheinend) kein Sicherheitsprotokoll, welches entweder Briefpost oder andere "sichere" Wege involviert, bevor man trotz verlorener Daten an seinen Account kommen kann?

Da Honan nicht nur weltweites Presseecho ausgelöst hat, sondern Apple-Chef Tim Cook und das Support-Team direkt anschrieb, bleibt zu hoffen, dass Apple nachträglich den ein oder anderen Sicherheitsmechanismus integriert und besonders die Fernlöschung etwas besser absichert.

 

[iStationär]

Das gute ist, dass sie jetzt besser drauf achten werden weil sie sich sowas nicht mehr leisten können =)

 

[Pascolo]

Seltsam, denn normalerweise werden doch zig (Sicherheits-) Fragen gestellt. Das war zumindest bei mir der Fall. Da hat ein Apple-Mitarbeiter wohl einfach nur geschlampt. Trotzdem wirft das natürlich Fragen auf...

 

[mkr*]

Heftige Story. Und alles weil der/die Applemitarbeiter/in so dämlich war...

 

[Shaf]

Der Traum von Sicherheit... Was einem zu Denken geben kann ist, dass es sich jetzt um einen "Prominenten" in der Szene gehandelt hat. Aber beim Kapern eines Email Accounts kann noch ein wirtschaftlicher Schaden entstehen falls er für die Bucht, Bezahlfreund etc. verwendet wird, dass macht es dann auch interessant die Accounts von Otto Normal Apple Benutzern zu übernehmen. Ich glaube vielen ist gar nicht bewusste wie viel an Ihrem Mail Account und damit Ihrer digitalen Identität hängt.

 

[paul.mbp]

Bei Millionen von iCloud Konten gibt es jetzt einen Vorfall mit einem nachweislich der menschlichen Fehlbarkeit geschuldeten Fehler eines einzelnen Mitarbeiters, und schon wird das in den Medien breit getreten als gäbe es ein generelles massives Sicherheitsproblem.
Ich will den Fehler und dessen Auswirkungen jetzt nicht herunterspielen, Apple hat jetzt sicher dazugelernt, aber man kann es mit dem Hype auch übertreiben.

 

[CRiMe]

Sehe ich auch so, paul.mbp.

Zudem lernen vielleicht auch andere nun, dass man nicht alles untereinander verknüpfen sollte und man auch von Daten, die in der iCloud liegen, Backups machen kann...

 

[rastafahnda]

In jedem Fall ist da wohl jemand seinen Job los...

 

[Christian Blum]

Naja, geht halt nicht. Ich rief letzte Woche bei der Telekom an und wurde nach meinem Passwort gefragt. Als ich das Passwort nannte (dieses Kundenservicekennwort), aber mit einem falschen Ende, sagte man mir "Ja, aber mit XYZ am Ende" - das ist nicht Sinn der Sache, aber häufig gängige Praxis.

 

[iStationär]

Vodafone das selbe. Man hat da so ein Passwort - oder man sagt seine Adresse. FAAAAAST das selbe ! :-x

 

[ron_iz]

Da hat wohl jemand die eigene Guidline nicht ernst genug genommen.
Das kommt aber immer wieder vor, nicht nur bei Apple. Wenn jeder sich an die vorgegebenen Abläufe halten würde, würden auch bei uns in der Firma weniger Fehler gemacht.

Es wäre mal interessant zu wissen wie und was gefragt und geantwortet wurde. Ich wurde z.B. bei der Apple Hotline immer auch nach einer Serialnummer gefragt. Die hätte der Anrufer denn auch schon mal wissen müssen. Oder aber geschickt genug sein im Gespräch und einen nicht ganz so aufmerksamen Hotline Mitarbeiter erwischen.

 

[mkr*]

Kann man bei so etwas eigentlich Schadensersatz verlangen, bzw Klage einreichen, oder haben sie sich dagegen in den AGB's oder so abgesichert? Gerade, dass die Daten dann so gelöscht werden können, ist ja ziemlich ärgerlich. Der Fehler lag ja in diesem Fall bei Apple.

 

[naich]

Sehe ich auch so, paul.mbp.

Zudem lernen vielleicht auch andere nun, dass man nicht alles untereinander verknüpfen sollte und man auch von Daten, die in der iCloud liegen, Backups machen kann...

Man sollte eigentlich immer von allen Daten auch Backups machen. So wie es in seiner Schlilderung klingt, hatte er ja gar kein Backup von seinen wichtigen Daten auf dem Macbook. In dieser Hinsicht ist er auch selbst mit Schuld, dass nun hier aufwenig recovery-Arbeit betrieben werden muss.

 

[speedlimiter]

Wirklich klar ist an dem Fall aber nicht, wie der Hacker an den iCloud Account gekommen ist. Es kann auch genau anders herum passiert sein. Wer weiß in so einem Moment der Panik schon, welcher Account da wie gehackt wurde. Die Story ist sehr fadenscheinig. Man sollte da nicht einfach alles blind glauben. Vielleicht war es auch nur schiere Sensationssucht.

 

[echo.park]

Wie kommt man denn von iCloud zu Twitter und Googlemail? Verstehe ich nicht.

 

[CRiMe]

Ich denke, er hatte bei Twitter seine Apple-Email-Adresse hinterlegt.
Auf seinem iCloud Account waren die Jungs ja schon und dann war es wahrscheinlich nur noch ein "Passwort vergessen"-Klick bei Twitter.

Und bei Googlemail war wahrscheinlich auch die Apple-Email-Adresse als Zweitadresse oder ähnliches gespeichert. Gleiches Spiel wie bei Twitter.

Das meinte ich weiter oben: Nicht unüberlegt Konten verknüpfen!

 

[Pascolo]

So, wie er es beschrieben hat:

At 4:50 PM, someone got into my iCloud account, reset the password and sent the confirmation message about the reset to the trash. [...] The backup email address on my Gmail account is that same .mac email address. At 4:52 PM, they sent a Gmail password recovery email to the .mac account. Two minutes later, an email arrived notifying me that my Google Account password had changed. [...] A few minutes after that, they took over my Twitter. Because, a long time ago, I had linked my Twitter to Gizmodo’s they were then able to gain entry to that as well.

Er hat somit bei Google-Mail seine @mac.com-Adresse als Zweitadresse angegeben. Die Passwort-vergessen-E-mail ging dann auch prompt dahin. Bei Twitter war es wohl ähnlich: Accountname bekannt und @mac.com-Adresse hinterlegt und somit war das Chaos perfekt.

Nachtrag: Mist, zu spät.

 

[echo.park]

So ist es im Prinzip dann bei jedem Mail-Konto, dass übernommen wurde. Hat man Gewalt über den Posteingang kann man alle möglichen Passwort-zurücksetzen-Mails dort abfangen.

Allerdings wird das doch eher auf gut Glück gemacht, man weiß ja nicht genau wo die gekaperte Adresse auch wirklich als Kontaktadresse hinterlegt ist.

Danke, ich habe verstanden.