Bericht: Apple-Support ermöglichte iCloud-Account-Übernahme
Unbekannte konnten den iCloud-Account eines US-Journalisten übernehmen und dadurch dessen Geräte fernlöschen – den Zugang erschlichen sie sich nach Ansicht des Betroffenen mit einem Anruf beim Apple-Support.
Am vergangenen Freitag haben sich Unbekannte Zugriff auf den iCloud-Account des für Wired tätigen Autors Mat Honan verschafft und anschließend zwei über den iCloud-Geräteaufspürdienst angebundene iOS-Geräte sowie ein MacBook Air des Journalisten ferngelöscht. Honan, der anfangs davon ausging, dass die Angreifer auf irgendeine Weise an sein Apple-ID-Passwort gelangt seien, geht inzwischen davon aus, dass ein Apple-Supportmitarbeiter telefonisch ein Ersatz-Passwort an die Hacker herausgab, die damit den Account übernehmen konnten.
Es gäbe spezifische Informationen zu einem iCloud-Account, mit deren Kenntnis sich ein temporäres Passwort beim Support anfordern lasse, ohne die vom Nutzer vorgegebenen Sicherheitsfragen beantworten zu müssen, berichtete Honan am Sonntag in der TWiT-Episode Nummer 365. Dies habe er im Gespräch mit dem Apple-Support sowie mit einer Person erfahren, die sich als sein Hacker ausgab. Es sei keinesfalls leicht, an diese Informationen zu gelangen, so der Journalist weiter. Den kompletten Hergang der Account-Übernahme will er aber erst im Laufe des Montags in einem Artikel bei Wired ausführlich darlegen – dies solle Apple die Möglichkeit geben, vorher auf die Schwachstelle zu reagieren.
Die Kontrolle über den iCloud-Account ermöglichte den Angreifern zudem, auch den Gmail-Zugang des Journalisten durch das Zurücksetzen des Passwortes zu übernehmen, da als Kontaktadresse die iCloud-E-Mail-Adresse hinterlegt war.
Honans Gmail-Adresse war wiederum bei Twitter für den Fall des Passwort-Zurücksetzens vorgemerkt und so erhielten der oder die Hacker auch Zugriff auf dessen Account bei dem Kurznachrichtendienst. Da der einst für Gizmodo schreibende Journalist den über 400.000 Follower zählenden Twitter-Account des US-Blogs mit seinem privaten Account verknüpft hatte, konnten die Angreifer kurzzeitig über beide Kanäle wirre und rassistische Äußerungen absetzen.
Inzwischen sei er wieder in Besitz seiner Accounts und versuche festzustellen, ob die Angreifer noch Zugriff auf weitere von ihm genutzte Dienste genommen habe. Zudem hofft Honan, dass Apples Kundendienst die Daten von seinem ferngelöschten MacBook Air wiederherstellen kann – ein Backup dieses Gerätes hat er nämlich nicht. Eine Stellungnahme von Apple zum Thema liegt Mac & i bislang nicht vor.
[Update 07.08.12 10 Uhr 00:] Mittlerweile hat Honan seinen Artikel bei Wired veröffentlicht. Demnach half bei der Account-Übernahme auch ein Problem beim E-Commerce-Anbieter Amazon. Der oder die Hacker hätten dort angerufen und eine neue Kreditkarte für seinen Account hinterlegt. Dazu hätten E-Mail-Adresse, Name des Account-Besitzers und Rechnungsadresse gereicht. Mit einem zweiten Anruf sei es dann möglich gewesen, eine neue E-Mail-Adresse für diesen Account zu hinterlegen – und zwar mit Hilfe der zuvor angegebenen neuen Kreditkarte und der Aussage, man habe den Zugriff verloren.
Mit der neuen E-Mail-Adresse war es dann möglich, ein neues Passwort zu generieren, was wiederum Zugriff auf den Amazon-Account erlaubte, so Honan. Dort ließen sich dann die letzten vier Ziffern der Originalkreditkarte lesen (mehr allerdings auch nicht). Bewaffnet mit Namen, Rechnungsadresse und den letzten vier Ziffern von Honans Kreditkarte soll es dann möglich gewesen sein, vom Apple-Support ein temporäres Password für iCloud zu erhalten, womit sich der Account übernehmen ließ. Korrekte Antworten auf die Sicherheitsfragen hätten die Angreifer nicht gehabt, so Honan.
In einer Stellungnahme hieß es unterdessen von Apple gegenüber Wired, der Computerkonzern verlange "mehrere Formen der Verifikation" vor einer Rücksetzung des Accounts. In diesem speziellen Fall hätte eine Person persönliche Daten des Kunden erlangt. Außerdem habe man festgestellt, dass hierbei Apples "interne Richtlinien nicht vollständig befolgt" worden seien. Was genau damit gemeint ist, gab Sprecherin Natalie Kerris nicht an. Sie sagte weiter, Apple sei derzeit dabei, alle Prozesse in diesem Bereich zu überprüfen, "um sicherzustellen, dass die Kundendaten geschützt" seien. Ein Kommentar von Amazon zu dem Bericht steht bislang noch aus. (lbe)