Developer Center: Apple bestätigt Hacking-Versuch

[Martin Wendel]

Seit Donnerstag Abend ist Apples Developer Center unangekündigt nicht erreichbar, Apple selbst sprach bislang lediglich von Wartungsarbeiten, die länger andauern würden als ursprünglich erwartet. Aufgrund von E-Mails zum Zurücksetzen der Passwörter kam die Vermutung auf, dass ein Sicherheitsleck der Grund sein könnte. Apple hat nun bestätigt, dass sich Hacker am Donnerstag Zugang zu persönlichen Informationen der registrierten Entwickler verschaffen wollten.[PRBREAK][/PRBREAK]

Apple könne nicht ausschließen, dass die Hacker Zugriff auf Namen, Adressen und E-Mail-Adressen der registrierten Entwickler hatten. Das Developer Portal wurde sofort offline genommen, um weiteren Schaden zu verhindern. Seitdem arbeite man daran, das Developer-System zu überarbeiten, die Server-Software zu aktualisieren und die Datenbank wiederaufzubauen. Wann die Arbeiten in etwa erledigt sein werden, ist nicht bekannt.

Ein Zugriff auf gewisse sensible persönliche Daten der Entwickler – welche das sind, ist nicht bekannt – ist laut Apple nicht möglich, da diese verschlüsselt seien. Gegenüber Macworld wurde außerdem bestätigt, dass die Hacker keinen Zugriff auf den Code von Apps oder die Server, auf denen Informationen zu Apps gespeichert sind, hatten.

Über das Developer Center, das mittlerweile seit über drei Tagen offline ist, können Entwickler ihren Account verwalten, sich mit anderen Entwicklern und Apple-Mitarbeitern in den Entwickler-Foren austauschen und es gibt Dokumentationen und weitere Ressourcen für App-Entwickler.


Via 9to5Mac, Macworld

 

[MandelriegelxD]

Ja ja... Hacker... die heißen "NSA".

 

[Mac 2.2]

Was mich wundert: Warum gerade der Developer-Bereich? Ist der etwa schlechter geschützt, als der iTunes Store? Ansonsten wären ja beide in gleicher Gefahr.
Ich habe noch keine Email bekommen - also wissen sie etwa von wem was an Dritte gelangt ist?

 

[WarmRed]

Und hier hat der Hacker oder Bugreporter Stellung bezogen...

http://www.youtube.com/watch?v=q000_EOWy80

 

[Breznsemmel]

Ja und? Dann hat jetzt halt nicht nur die NSA unsere Daten, sondern auch ein paar konventionell Kriminelle...

 

[larsfreiburg]

Es sind definitiv auch "normale" Apple IDs betroffen. Ich habe als hinterlegte zweite E-Mail Adresse für meine Freundin am Freitag um 18:53 und am Samstag um 0:03 Uhr jeweils diese typische Mail bekommen, als ob meine Freundin ihr Passwort vergessen hätte und nun ein neues anlegen wollte. Und sie hat keinen Developer Account.
Ich selbst habe mich mal als Developer angemeldet (diese kostenlose Version bei der man fast nix machen kann...) und habe keinerlei Mail erhalten.

 

[echo.park]

@ larsfreiburg:

Solche Mails kommen immer mal wieder, das hat wohl nichts hiermit zu tun. Ist wohl ein Zufall. Ich lese ständig davon, dass Leute solche Mails bekommen. Auch die echten von Apple.


Zum Thema:

Ein Zugriff auf gewisse sensible persönliche Daten der Entwickler – welche das sind, ist nicht bekannt – ist laut Apple nicht möglich, da diese verschlüsselt seien.

Der Zugriff ist auch mit einer Verschlüsselung möglich. Allerdings kopiert der Dieb dann eben verschlüsselte Daten aus der Datenbank und kann nichts damit anfangen. Richtig müsste es heißen: "Zugriff auf die in den verschlüsselten Daten vorhandenen Informationen." Aber auch darauf würde ich mich nicht verlassen.


@ Breznsemmel:

Ja genau, ist ja nicht so als könnten Kriminelle deine Adressdaten missbrauchen um im Internet auf Shoppingtour zu gehen. Beispielsweise bei Online-Shops, bei denen die Lieferadresse nicht mit der Rechnungsadresse übereinstimmen muss. Oder sich in deinem Namen bei Pornoseiten anmelden etc. etc.
Es gibt Leute, die haben die Gefahr eines solchen Datenlecks für sich selbst noch nicht verstanden. Aber die NSA, die ist gefährlich, ist klar. Wo hast du deine Daten lieber, in den Händen einer staatlichen Behörde oder in den Händen der Russenmafia?

PS:
Ich will den Datenwahn der NSA nicht schönreden, aber Kriminelle sind meiner Meinung nach das größere Problem, wenn es um Datenmissbrauch geht. Oder um Missbrauch generell.

 

[MacbookPro@Olli]

Der vermeintliche "Hacker" hat doch mittlerweile ein Video auf youtube veröffentlicht. Die Daten sind wohl nicht weitergegeben worden und er hat die Lücke sogar im Voraus Apple im bugreport genannt. Apple hat dann wohl ein Weilchen gebraucht und dann kurzerhand das ganze Portal vom Netz genommen.

 

[92893]

ich frage mich, ob im Bezug auf diesen Vorfall heute eine weitere Beta erscheint?

 

[Martin Wendel]

Der vermeintliche "Hacker" hat doch mittlerweile ein Video auf youtube veröffentlicht.

So ganz kaufe ich ihm das auch nicht ab. Wenn er mit den Daten nichts gemacht hat, warum haben dann so viele Leute die E-Mail bekommen? Meiner Meinung nach: Entweder er verschweigt da was oder es gab zufällig ca. zur selben Zeit noch einen anderen Angriff.

 

[echo.park]

Apple aktualisiert seine Server-Software also erst jetzt. Ganz toll. Wenn es zu spät ist. Hätte vorher passieren müssen, und zwar routinemäßig!

 

[ProUser]

Ja genau, ist ja nicht so als könnten Kriminelle deine Adressdaten missbrauchen um im Internet auf Shoppingtour zu gehen. Beispielsweise bei Online-Shops, bei denen die Lieferadresse nicht mit der Rechnungsadresse übereinstimmen muss. Oder sich in deinem Namen bei Pornoseiten anmelden etc. etc.

Warst Du schon mal draußen in der realen Welt? Um Adressen von fremden Personen zu erhalten, muss man nicht hochkompliziert auf irgendwelchen Servern einbrechen - dabei geht es um etwas anderes..

Es gibt Leute, die haben die Gefahr eines solchen Datenlecks für sich selbst noch nicht verstanden. Aber die NSA, die ist gefährlich, ist klar. Wo hast du deine Daten lieber, in den Händen einer staatlichen Behörde oder in den Händen der Russenmafia?

Genauso gibt es Menschen, die meinen nur, es verstanden zu haben - sie haben einwenig Fantasie, aber kein Plan. Ist Dir bewusst, wie gefährlich es sein kann, wenn man unter Verdacht (begründet, oder unbegründet wie im Fall Gustl Mollath) in die Mühlsteine der Sicherheitsbehörden gerät, da kann ein Leben im nu zerstört werden! Der Mafia bist Du relativ egal, auch wenn von der Mafia viel Schaden (Korruption/Drogenhandel/Menschenhandel/Wirtschaftsbetrug) der Gesellschaft entsteht.

Apple aktualisiert seine Server-Software also erst jetzt. Ganz toll. Wenn es zu spät ist. Hätte vorher passieren müssen, und zwar routinemäßig!

Das wäre schön, wenn ALLE Lücken von vornherein bekannt wären und sich "routinemäßig" beseitigen ließen! Von welchem Planeten kommst Du?

 

[Eraneva]

Ziemlich Peinliche für Apple. Grade Apple die bei seinen Kunden immer mit Große Sicherheit geworben hat...


Ob das Youtube Video fake ist oder echt, kein plan. Allerdings ist sein Motive entweder naiv oder er ist einfach sau blöd

 

[kelevra]

Ja und? Dann hat jetzt halt nicht nur die NSA unsere Daten, sondern auch ein paar konventionell Kriminelle...

Naja, jeder reitet auf der NSA herum. Dass uns unser eigener Nachrichtendienst ausspioniert, wird aber unter den Teppich gekehrt. Abgesehen davon, dass ich weder will, dass irgendwelche Behörden mit meinen Daten machen was sie wollen, ist es doch deutlich kritischer, wenn kriminelle Daten stehlen. Stichwort Identitätsdiebstahl.

Was mich wundert: Warum gerade der Developer-Bereich? Ist der etwa schlechter geschützt, als der iTunes Store? Ansonsten wären ja beide in gleicher Gefahr.
Ich habe noch keine Email bekommen - also wissen sie etwa von wem was an Dritte gelangt ist?

Die einzelnen Bereiche laufen ja nicht alle auf den gleichen Servern und mit unter nicht mal mit der gleichen Software. Anscheinend konnte in diesem Bereich eine Lücke gefunden und genutzt werden.

Apple aktualisiert seine Server-Software also erst jetzt. Ganz toll. Wenn es zu spät ist. Hätte vorher passieren müssen, und zwar routinemäßig!

Als ob irgendwer immer seine Server absolut dicht halten kann. Du solltest doch wissen, dass es keine absolute Sicherheit gibt. Lücken wird es immer geben. Jetzt hat es mal Apple getroffen. So etwas passiert doch ständig, nur wird es nicht immer publik. Das ist jetzt eher ein öffentlicher Bereich, zu dem auch Aussenstehende Zugang haben. Sicherlich laufen auch Hackerangriffe gegen die internen EDV-Strukturen bei Firmen wie Apple, Microsoft und Co.

Wirtschaftsspionage ist ein großes Problem, vor allem in den Industrienationen. Nicht selten stecken hinter solchen Angriffen auch fremde Regierungen.

 

[Mac 2.2]

Naja, jeder reitet auf der NSA herum. Dass uns unser eigener Nachrichtendienst ausspioniert, wird aber unter den Teppich gekehrt. Abgesehen davon, dass ich weder will, dass irgendwelche Behörden mit meinen Daten machen was sie wollen, ist es doch deutlich kritischer, wenn kriminelle Daten stehlen. Stichwort Identitätsdiebstahl.

Signed!

Anscheinend sind auch normale Apple IDs betroffen, laut den Aussagen hier im Kommentarbereich. Abwarten, mal schauen ob noch so ne Mail kommt.

 

[Martin Wendel]

Apple hat gesagt, dass normale Apple-IDs (für iTunes Store, etc.) nicht betroffen sein sollen. Nur welche, die auch als Entwickler registriert sind.

 

[larsfreiburg]

@ echo.park und Martin:

Sowas (siehe meinen Post von 11:59) ist bei uns noch nie passiert. Aber im Zuge dieser Panne / dieses Hacks gleich zwei Mal nacheinander. Und Ihr meint jetzt ernsthaft, daß zufällig, ausgerechnet jetzt, jemand gaaaaanz anderes versucht hat, ...

Echt süß! Manche Leute glauben an krasse Zufälle! Mein Motto ist: "Das Naheliegende ist auch das Wahrscheinliche".

 

[Martin Wendel]

Schön, dass ihr auch betroffen seid. Ich habe lediglich die offizielle Info von Apple weitergegeben. Und ganz ehrlich (auch wenn es für dich schlimm klingen mag): Ich kenne weder dich (schon gar nicht deine Freundin), noch Herrn Apple persönlich. Solange würde ich mich mal an die offiziellen Infos halten.

Vielleicht hat sich deine Freundin irgendwann mal (irrtümlich) bei Apple irgendwo angemeldet und hat einen kostenlosen Dev Account (das merkt man in der Regel ja nicht). Vielleicht erlaubt sich irgendjemand einen schlechten Scherz mit deiner Freundin. Vielleicht...

 

[kelevra]

@larsfreiburg

Da stimme ich Martin Wendel zu. Ich würde da jetzt ebenfalls keinen Zusammenhang hineininterpretieren, wo keiner ist. Am besten man hält sich erstmal an die offiziellen Meldungen und wartet ab. Viel mehr kann man ohnehin nicht tun.

Kleiner Tipp für alle die jetzt nervös sind: Ändert am besten vorsichtshalber euer Passwort für iTunes. Sollte jemand an die Daten gekommen sein, sind sie somit veraltet. (zumindest das Passwort ist es dann)

 

[echo.park]

Ich habe gestern Abend aus einem anderen Grund mein PW geändert, heute morgen dann die Meldung hier gelesen. Von daher besteht für mich erstmal kein weiterer Handlungsbedarf, denke ich.

Das wäre schön, wenn ALLE Lücken von vornherein bekannt wären und sich "routinemäßig" beseitigen ließen! Von welchem Planeten kommst Du?

Als ob irgendwer immer seine Server absolut dicht halten kann. Du solltest doch wissen, dass es keine absolute Sicherheit gibt. Lücken wird es immer geben.

Ich sprach nicht von Lücken. Ich sprach davon, dass sich die Meldung von Apple so anhört, als hätten sie es bisher versäumt ihre Software aktuell zu halten und holen das jetzt erst nach.

Mit anderen Worten:
Es gab schon länger Updates der Server-Software (beispielsweise vom Hersteller, so wie das mit Updates nun mal ist), die aber JETZT ERST eingespielt wurden, aufgrund dessen was passiert ist. Jetzt fragt man sich, wie kann eine Firma wie Apple eine gewisse Zeit lang vorhandene Updates nicht einspielen? Auf was haben die gewartet? Vielleicht gab es in der von Apple verwendeten Version genau die Lücken, die nun ausgenutzt wurden und die Updates, die jetzt erst eingespielt wurden, aber schon länger veröffentlicht waren, hätten diese Lücken eventuell bereits geschlossen.

Anders sieht es aus, wenn Apple zu 100 % seine eigene Server-Software betreibt. Wie wahrscheinlich das ist, kann ich nur vermuten. In diesem Fall kann man die Lücken natürlich erst jetzt schließen, mit dem Hintergrund, dass sie nun durch diesen Vorfall überhaupt erst ans Tageslicht gekommen sind.