Amazon und Apple reagieren auf iCloud-Hack
Apple hat die telefonische Passwortrücksetzung vorübergehend ausgesetzt. Das Unternehmen reagiert damit offenbar auf einen aufsehenerregenden Hack, dessen Opfer der US-Journalist Mat Honan wurde. Ein Apple-Mitarbeiter, der nicht namentlich genannt werden wollte, bestätigte das gegenüber Wired. Demnach gilt die Ausnahmeregelung für mindestens 24 Stunden. Sie soll Apple vermutlich Zeit geben, um bestimmen zu können, ob eine Änderung der bisherigen Sicherheitspraxis erforderlich ist. Apple verweigert bislang einen Kommentar dazu, ob es seine Sicherheitspraxis dauerhaft ändern will.
Amazon reagierte dagegen bereits und schloss eine Sicherheitslücke, die zum Gelingen des Hacks beigetragen hatte. “Wir haben das berichtete Sicherheitsproblem untersucht und können bestätigten, dass es behoben ist”, erklärte ein Amazon-Vertreter gegenüber News.com.
Der Hack hatte Mat Honans digitales Leben schlagartig in ein Chaos verwandelt. Nachdem der Angreifer sich Zugang zu Honans iCloud-Konto verschafft hatte, konnte er nacheinander die Kontrolle über dessen iPhone, iPad und MacBook übernehmen.
Er leitete einen Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein. Da Honan eine von Apple vergebene E-Mail-Adresse (.Me) auch anderen Diensten zugeordnet hatte, verschaffte sich der Hacker außerdem Zugang zu dem Gmail-Konto des Journalisten, das er löschte.
Sein eigentliches Ziel aber war die Übernahme dessen Twitter-Kontos gewesen. Honans Twitter-Account wiederum war mit dem seines ehemaligen Arbeitgebers Gizmodo.com verbunden – und dessen 415.000 Follower wurden wenig später mit anstößigen und rassistischen Tweets eingedeckt.
So lief der Hack im Einzelnen ab
In Wired hat Honan inzwischen ausführlich berichtet, wie er den Hack erlebte und wie er durchgeführt wurde. Zwischenzeitlich hatte der Angreifer, der sich Phobia nennt, mit ihm Kontakt aufgenommen. “Ehrlich, man kommt in jede E-Mail-Adresse rein, die mit Apple verbunden ist”, versicherte ihm der Hacker.
Um Honans Apple-Identität zu übernehmen, benötigte “Phobia” tatsächlich nur wenige Angaben. Ausgangspunkt war die ihm schon bekannte E-Mail-Adresse. An die Rechnungsadresse kam er durch eine Whois-Suche zu Honans persönlicher Webdomain. Etwas umständlicher war es nur, an die erforderlichen letzten vier Ziffern der Kreditkartennummer zu gelangen.
Aber dabei half ihm Amazon: Der Angreifer rief beim Onlinehändler an, gab sich als Mat Honan aus und erklärte, eine weitere Kreditkarte hinzufügen zu wollen. Er musste dafür nur das Konto, eine verbundene E-Mail-Adresse sowie die Rechnungsadresse angeben. Nach der telefonischen Eintragung dieser Nummer rief er erneut an und gab an, sein Passwort vergessen zu haben. Nun half ihm die von ihm selbst hinzugefügte Kreditkartennummer, um eine E-Mail-Adresse hinzufügen zu können und ein neues Passwort an diese neue Adresse senden zu lassen.
Damit konnte er sich dann bei Amazon.com einloggen und alle mit Honans Konto verbundenen Kreditkarten einsehen – zumindest die letzten vier Ziffern. Diese aber genügten ihm wiederum bei AppleCare, um sich dort erfolgreich als Mat Honan ausgeben zu können.
Honan räumt immer wieder eigene schwere Fehler ein, insbesondere die Verkettung verschiedener Dienste. Den Hack aber hätte er selbst mit dem sichersten Passwort nicht verhindern können. Zu Recht weist er darauf hin, dass Millionen Amerikaner ihre Kreditkartennummern im Geschäftsverkehr täglich oft mehrmals angeben. Namen wiederum lassen sich über das Web einfach mit den zugehörigen E-Mail-Adressen und Postadressen verbinden.
“Aber was mir geschah, enthüllt wesentliche Sicherheitsprobleme in verschiedenen Kundendienstsystemen, vor allem bei Apple und Amazon”, schreibt Honan. Er bedauert inzwischen auch sehr, nicht die für Gmail angebotene Zwei-Stufen-Authentifizierung genutzt zu haben. Dabei ist zur Anmeldung neben Benutzername und Passwort ein zusätzlicher Code erforderlich, der an ein Mobiltelefon übermittelt wird. Google-Manager Matt Cutts nahm Honans Erfahrungen inzwischen zum Anlass, um erneut dazu aufzurufen, diese zu aktivieren.
[mit Material von Steven Musil, News.com]