China: Apple-ID-Klau führt zu Geldverlust
User, die WeChat- oder Alipay-Accounts mit ihrem iCloud-Zugang verknüpft haben, können einem Bericht zufolge Geld verlieren, wenn die Apple-ID geknackt wird.
Ant Financial, Betreiber des Bezahldienstes Alipay, sowie Tencent Holdings, Anbieter des Konkurrenzservices WeChat Pay, haben ihre Nutzer vor Geldverlusten durch Angriffe auf deren Apple-ID gewarnt. Details, wie die Attacken auf die mobilen Payment-Verfahren konkret abliefen, sind bislang nicht offiziell kommuniziert worden. Alipay und WeChat Pay werden in China im Alltag sehr häufig verwendet – für viele Nutzer haben sie Bargeld und Kreditkarten ersetzt, egal ob der Einkauf bei kleinen Händlern oder großen Ketten erfolgt.
App-Store-Einkäufe, die nicht autorisiert wurden
Viele Nutzer von Alipay und WeChat Pay nutzen Apples iOS-Geräte und verknüpfen dabei ihre Apple-ID mit den Zugangsdaten für die Dienste. Offenbar wurde nach Entwendung der Apple-ID-Daten mit diesen in Apples Inhalteangeboten eingekauft (etwa App Store oder iTunes Store), was wiederum zur Belastung der Alipay- und WeChat-Pay-Konten führte, die die Nutzer zuvor hinterlegt hatten. Wie die Angreifer an die Apple-ID-Zugänge gelangten, ist unklar – Apple bietet zu deren Schutz seit mehreren Jahren eine Zwei-Faktor-Authentifizierung an.
An der Apple-ID hängt bei Apple alles
Die Apple-ID ist Apples zentraler Nutzeraccount, der auch für iCloud und seine Synchronisationsdienste verwendet wird – inklusive iCloud-Backup. In chinesischen sozialen Medien hieß es laut einem Bericht des Wall Street Journal, dass Nutzer zum Teil Hunderte US-Dollar durch nicht von ihnen vorgenommene App-Store-Einkäufe auf ihren Alipay- und WeChat-Pay-Konten verloren haben sollen. Wie viele Kunden betroffen sind, ist unklar.
Alipay: Apple muss das Problem lösen
Alipay gab in einem Posting auf dem Kurznachrichtendienst Sina Weibo an, Apple habe das Problem bislang nicht gelöst. Apple selbst wollte sich diesen Schuh gegenüber dem Wall Street Journal allerdings nicht anziehen und teilte nur mit, Nutzer sollten Instruktionen folgen, ihre Apple-ID abzusichern und die Zwei-Faktor-Authentifizierung aktivieren.
[Update 16.10.18 15:00 Uhr:] Apple hat zu den Vorfällen inzwischen Stellung genommen. Man bedauere die "Unannehmlichkeiten", die durch eine – aktuell in China auftretende – Phishing-Welle entstanden seien. Dabei sei auf "eine kleine Anzahl von Nutzeraccounts" zugegriffen worden. Die Opfer hätten die Zwei-Faktor-Authentifizierung nicht aktiviert gehabt.
Apples Reaktion folgt auf eine breite Berichterstattung in den chinesischen Medien – so meldete etwa der Staatssender CCTV, Nutzer hätten Geld durch App-Store-Einkäufe verloren, die sie selbst nicht getätigt hätten. Die Alipay-Mutter Ant Financial gab an, man habe Apple "mehrfach" über die Probleme informiert. (bsc)