Hacker stehlen Nacktfotos von Prominenten

Data & StorageSicherheitStorage
icloud-anmeldung

Wahrscheinlich verschafften sich die Hacker mit einer Brute-Force-Attacke Zugriff auf Konten von Apples Speicherdienst iCloud. Dies war möglich, weil Apple in seinem Dienst “Find my iPhone” vergessen hatte, eine Zeitsperre nach mehrmaligen fehlerhaften Eintippen des Passworts einzubauen. Inzwischen ist der Fehler behoben.

icloud-anmeldungVermutlich durch eine Schwachstelle in Apples iCloud-Dienst konnten Hacker Nacktfotos von Prominenten wie den Schauspielerinnen Michelle Keegan (Coronation Street), Jennifer Lawrence (Hunger Games), Kirsten Dunst (Spider Man) und der Sängerin Ariana Grande entwenden. Anschließend haben sie die Fotos auf 4chan veröffentlicht. Wie The Next Web berichtet, hat Apple kurz nack Bekanntwerden der Aktion eine Schwachstelle im Clouddienst Find My iPhone (“Mein iPhone suchen“) behoben, mit der Fremde auf persönliche Fotos von iCloud-Nutzern zugreifen konnten. Einen Tag zuvor war Proof-of-Concept-Code für einen Brute-Force-Angriff auf die Apple-ID bei GitHub eingestellt worden. Ein Zusammenhang ist zwar noch unbestätigt, erscheint aber wahrscheinlich. Allerdings sind auch andere Methoden denkbar.

Angreifer benötigten lediglich den Usernamen des Kontos, der typischerweise aus der E-Mail-Adresse besteht. Über “Find my iPhone” war es möglich, beliebig viele Passwörter auszuprobieren, ohne dass eine in solchen Fällen übliche Zeitsperre erfolgte. Offensichtlich hat Apple dies bei “Find my iPhone” vergessen. Nach Apples Maßnahmen funktionierte die Brute-Force-Attacke nicht mehr. Nach fünf fehlerhaften Versuchen wird das Konto nun gesperrt. Nutzer müssen anschließend ihr Passwort zurücksetzen.

Falls sich der Zusammenhang bestätigt, könnte der Ruf des Unternehmens – kurz vor der Vorstellung des iPhone 6 – beträchtlichen Schaden nehmen. Hacker dürften auf diese Weise auch Zugang zu anderen in iCloud gespeicherten Daten gehabt haben, von E-Mails bis zu Adressbucheinträgen und Terminen. Die Ausmaße sind noch nicht absehbar.

Schon im Mai hatten vor allem australische Nutzer in Apples Support-Foren von einem Angriff auf ihre iPhones, iPads und Macs berichtet, bei dem die Geräte gesperrt werden. Die unbekannten Hacker drohen damit, alle gespeicherten Daten zu löschen, sollten ihre Opfer nicht ein Lösegeld von 100 Dollar bezahlen.

Im Jahr 2012 waren schon einmal die Schauspielerinnen Christina Aguilera und Scarlett Johansson Opfer eines iPhone-Hacks geworden. Der später als Hollywood-Hacker bezeichnete und auch verurteilte Christopher Chaney veröffentlichte in der Folge Nacktaufnahmen, die sie von sich selbst gemacht hatten.

Chaney hatte sich in der Mehrzahl der Fälle über die Funktion “Passwort vergessen” Zugriff zu Mailkonten verschafft, indem er Sicherheitsabfragen mit öffentlich verfügbaren Informationen beantwortete. Nach eigener Aussage kam er so an tausende Mails der Prominenten, darunter auch Vertragsentwürfe.

Um sich vor solchen Attacken zu schützen, kann es bereits helfen ein möglichst sicheres Passwort zu verwenden. Je komplexer das Kennwort ist, desto schwieriger ist es, es mit einer Brute-Force-Attacke zu ermitteln. Noch sicherer ist es, wenn man seine Daten zusätzlich verschlüsselt. Lösungen wie Dropbox funktionieren derzeit aber nicht mit den verschiedenen Apple-Diensten. Daher sollte man, wenn man seine privaten Daten besser schützen möchte, über Dienste wie Dropbox, Google Drive oder Microsoft OneDrive nachdenken. Sie alle werden von Boxcryptor oder anderen Verschlüsselungstools unterstützt. Hacker, die Zugangsdaten von beispielsweise Dropbox-Account erlangen, haben dann trotzdem keinen Zugriff auf die Daten, das diese nur verschlüsselt vorliegen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.