Drücke die Tasten ◄ ► für weitere Artikel  

iCloud-Support gibt Unbefugten Zugriff auf fremden Account

Am Wochenende sorgte ein Journalist unfreiwillig für Schlagzeilen. Nein, er hat nicht sein iPhone verloren, sondern seinen iCloud-Account. Verloren hat er zumindest die Kontrolle über seine Daten, denn der Apple-Support gab Unbefugten vollständigen Zugriff auf den iCloud-Account.

iCloud-Support gibt Unbefugten Zugriff auf fremden Account

Hacker tricksen Apples iCloud-Support aus

Von Hackern ist man eigentlich eher gewohnt, dass sie sich durch Schwachstellen Zugriff auf ganze Webserver oder durch Ausspähen einzelner Konten Zugang zu fremden Daten verschaffen. Doch die Hacker gingen ganz anders vor und nahmen sich eine menschliche Schwachstelle vor - den Apple-Support. Dabei ging der ehemalige Gizmodo-Autor Mat Honan zunächst auch von einem herkömmlichen Hackerangriff aus, bei dem sein Passwort per Brute-Force-Angriff „erraten“ wurde. Doch dann meldete sich der Dieb und erklärte ihm, er habe den Apple-Support ausgetrickst.

Tech-Journalist Mat Honan staunte nicht schlecht, als Hacker über den Zugriff auf sein iCloud-Konto die Daten von seinen Geräten löschten... (Foto: Mat Honan / flickr.com, Lizenz: CC-BY)

Tatsächlich hatte sich der Hacker beim Apple-Support gemeldet und mit einem nicht näher beschriebenen Trick die Sicherheitsfrage umschifft – dann ließ er sich ein neues Passwort geben und für Honan ging der Albtraum los. Per Fernwartung löschte der Hacker erst sein , dann sein iPad, bevor Honan handeln konnte. Das gelang ihm erst als auch sein MacBook Air gelöscht werden sollte, was er mit einem schnellen Ausschalten verhinderte.

Mittlerweile steht er in Kontakt mit Apple und erhält Schritt für Schritt seine digitale Identität zurück. Doch der entstandende Schaden beschränkt sich nicht nur auf seine persönlichen Daten auf seinen Geräten und bei . In seinen hinterlegten Backups waren auch die Logindaten für zahlreiche Dienste gespeichert, so dass die Hacker beispielsweise auch auf den Twitter-Account von Gizmodo zugreifen und über diesen Tweets verschicken konnten.

Neues Gefahrenpotenzial für Cloud-Dienste

Viele Anwender haben sich bislang gegen Clouddienste entschieden, weil sie ihre Daten dort nicht als sicher ansehen. Im Sinn hat man dabei aber eher direkte Hackerattacken auf die Server oder Datenverluste durch Serverabstürze. Dass auch eine Gefahr durch die Schwachstelle „Mensch“ besteht, war dagegen eher nicht Gegenstand der Diskussionen. Ob sich das in Zukunft ganz wird ausschließen lassen, scheint zumindest fraglich. Deutlich verschärfte Sicherheitsvorkehrungen sind jedenfalls wünschenswert, auch wenn sie auf den Komfort, beispielsweise beim Verlust des Passworts, gehen sollten.

Speichert ihr eure Backups in der Cloud oder ist euch das (jetzt) zu unsicher?

Weiterführende Links zum Thema:

94 Shares bis jetzt – Dankeschön!

Bewerten
VN:F [1.9.22_1171]
10 Antworten
  1. von Sven am 06.08.2012 (19:35Uhr)

    Das Sichern von Backups in der Cloud scheint mir hier nicht das eigentliche Problem zu sein, sondern vielmehr die Besonderheit der iCloud, von dort Geräte zurücksetzen zu können. Oder habe ich das falsch verstanden? Ein einfaches Löschen der mit der Cloud gesyncten Daten wäre doch sicher kein so großes Problem gewesen.

    Zumindest dann nicht, wenn man (1) zusätzlich regelmäßige Offline-Backups der Daten macht und sie (2) auf dem eigenen Rechner verschlüsselt.

    Okay, (2) hat er wohl nicht berücksichtigt, wenn auch andere in seinem Account gespeicherte Passwörter kompromittiert wurden. Aber zumindest (1) würde ich aber von einem Technik-Journalisten schon erwarten.

  2. von Tim am 06.08.2012 (19:58Uhr)

    Das Problem hier ist ja nicht, dass die Daten in der Cloud liegen. Hier ist die Schwachstelle ganz klar der Support. Dieser muss natürlich 100% verifizieren, dass auch nur der Kunde Zugriff auf seine Daten bekommt. Sicherlich ist das schwierig, aber dieses Beispiel zeigt nun mal wieder, wie wichtig es ist.

  3. von Dominik am 06.08.2012 (20:20Uhr)

    Backups nicht, in der Cloud liegen nur Daten, die ich auch da brauche, um sie (mit anderen) zu bearbeiten. Bisher bin ich damit gut gefahren, dieser eine Fall schreckt mich da auch überhaupt nicht ab.

  4. von Dennis Stelloh via facebook am 06.08.2012 (20:56Uhr)

    Wozu braucht man noch gleich USB Sticks und externe Festplatten? Liegt doch alles so schön in der Cloud.

  5. von huettenzauber am 06.08.2012 (22:01Uhr)

    klar, ich schieb mal eben schnell meine filme in die Coud... da kann ich die ja lieber einen Datenträger mit DHL Overnight versenden, das ist schneller

  6. von Jonas Wendler am 07.08.2012 (09:46Uhr)

    Ich sehe das ähnlich wie Dominik. Es kommt mir nichts in die Cloud was auch nicht zwingend muss, schon gar keine sensiblen Daten. Aber für Kollaborationen ist es einfach zu nützlich als das ich darauf verzichten würde.

    Grüße,
    Jonas

  7. von Peter am 07.08.2012 (11:03Uhr)

    Das Ding ist doch nicht das ich "wichtige" Daten in der Cloud habe, sondern was man mit iCloud Zugang alles anstellen kann. Der Zugriff auf meinen Kalender, die Ortung meiner Geräte, das Löschen aus der Ferne und dann auch noch ein kompletter E-Mail Account.

    Meiner Ansicht nach darf das kein Support so einfach reseten. Hier gehört viel eher eine Mehrwege Authentifizierung her...

  8. von blitec am 07.08.2012 (17:00Uhr)

    So sehe ich das auch. Hier ist auf jeden Fall der Support gefragt. Dieser muss sich 100% sicher sein, dass der Anrufer auch der Inhaber der Daten ist. Natürlich gehören keine sensiblen Daten in die Cloud. Wie aber Peter schon geschrieben hat, kann man mit dem iCloud Zugang sehr einfach und schnell Zugriff auf wichtige persönliche Daten abgreifen.

  9. von Michael Karl am 07.08.2012 (21:20Uhr)

    Wenn man den Artikel liest müsste man meinen, dass Themen wie Social Engineering völlig in Vergessenheit geraten sind. Das größte Problem dabei seine Daten in eine Struktur zu geben, ist die Sicherheit - völlig unabhängig ob nun jemand die technische Seite, oder die weitaus einfacherer menschliche Seite ausnutzt. Daher finde ich das Ergebnis mehr als fraglich - jemand der sich mit Sicherheit auskennt wird den Faktor Mesch schon länger auf der Diskussionsliste gehabt haben.

    Beobachtet man nun im Gegenzug wie viele Kunden von Vodafone oder anderen Mobilfunkanbietern ihr Telefon-Passwort vergessen, daher nur über Umwege an Ihre Daten kommen und sich anschließend über einen langwirigen Support beschweren erkennt man die wahre Problematik...

  10. von Autorisierung per Fingerring: Google ent… am 19.01.2013 (11:01Uhr)

    [...] des unsicheren Passwort-Verfahrens vieler Anbieter stark zugenommen (man erinnere sich auch an den „gehackten“ Account des Journalisten Mat Honan vergangenen Sommer). Google bietet mit seinem Zwei-Stufen-Login bereits [...]

Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema iCloud
iCloud übernimmt Flat Design von iOS 7
iCloud übernimmt Flat Design von iOS 7

Passend zur heutigen Auslieferung von iOS 7 hat Apple auch die Oberfläche der iCloud überarbeitet. Icons und Hintergrund folgen damit dem von Jony Ive ausgerufenen Flat-Design-Trend. » weiterlesen

OS X Mavericks an iOS-Nutzer: Benutzt gefälligst iCloud
OS X Mavericks an iOS-Nutzer: Benutzt gefälligst iCloud

Unter OS X Mavericks ist die Synchronisation von Kontaktdaten, Terminen, Bookmarks und ähnlichen Informationen per WLAN oder USB nicht mehr möglich. Nutzer sollen dazu auf die iCloud ausweichen. » weiterlesen

WhatsApp speichert Backup im Klartext bei Apple
WhatsApp speichert Backup im Klartext bei Apple

Die Backup-Funktion von WhatsApp speichert alle Chat-Verläufe unverschlüsselt in Apples iCloud. Wer Zugang zum Konto hat, kann die Kommunikation einfach auslesen. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 35 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen