iCloud Account-Übernahme: Wired reproduziert Angriff erfolgreich – Freischaltcode von Amazon
Mat Honan, Opfer der gestern beschriebenen iCloud Account-Übernahme, hat seine Erfahrungen der letzten 48 Stunden unter der Überschrift „How Apple and Amazon Security Flaws Led to My Epic Hacking“ im amerikanische Technik-Magazin Wired zusammengefasst. Eine Lese-Empfehlung aus der uns zwei Informationen besonders wichtig erscheinen.
Freischalt-Code von Amazon: Obwohl der Hacker während seines Anrufes beim Apples Support keine Antworten auf die von Honan hinterlegten Sicherheitsfragen parat hatte, vergab Apple auf Nachfrage ein neues Account-Passwort. Legitimieren könnte sich der Angreifer mit den letzten vier Ziffern der Visa-Karte Honans. Eine Kombination die Amazon beim Zurücksetzen des Passworts automatisch anzeigt.
The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.
Noch immer möglich: Wired selbst versuchte den Angriff am Montag nachzustellen und war erfolgreich.
On Monday, Wired tried to verify the hackers’ access technique by performing it on a different account. We were successful. This means, ultimately, all you need in addition to someone’s e-mail address are those two easily acquired pieces of information: a billing address and the last four digits of a credit card on file.
Die komplette Hintergrundgeschichte kann hier nachgelesen werden.
Gleich mal probieren. Gibt mir mal bitte jemand seine apple id? Lol. Nee im ernst, ist ja scheisse. Wozu gibt’s dann die sicherheitsfragen, wenn man die Antwort nicht braucht?
Hier meine Apple ID: xxxthomasxxx LoL
:-DD
Spaß beiseite, ist schon recht bedenklich, dass das so „einfach“ zu bewerkstelligen ist… Da bin ich froh drüber, dass ich mittlerweile 6 verschiedene Mailadressen für verschiedene Anwendungen benutze. Hoffe das hilft?!? :-O
Wow, zuvor war ich ja noch skeptisch, aber das zeigt grobe Fahrlässigkeit. Daß die 4 letzten Ziffern von KK-Nummern ja nun wirklich überall im Netz angezeigt werden, sollte mittlerweile bekannt sein. Genau deswegen gibt es ja die zusätzliche Nummer auf der Rückseite, die eben sonst nirgens erscheint. Wenn Apple _die_ abfragen würde, wäre es schon ne Menge sicherer (auch wenn das immer noch nicht zufriedenstellend wäre, aber es macht schon einen großen Unterschied). Naja, was hilft’s hier das zu diskutieren. Da bin ich ja auch nur ein Troll… :)
Die drei Zahlen hinten (CV2) sind so „geheim“, dass die nirgends gespeichert werden dürfen.
Es wäre schon einer Verbesserung, wenn Apple irgendwelche anderen Ziffern abfragen würde. Denn genau die letzten vier sind eben die, welche meistens öffentlich sind.
Allerdings wird Apple nach dieser Panne wohl dieses Leck ziemlich schnell schließen. Schade nur, dass immer zuerst etwas passieren muss.
Da wäre ich mir bei Apple nicht so sicher, was das Patchen der Lücke angeht. Zum Passwort rücksetzen: Wie intelligent ist das denn?
Genau DIESE mußte ich gerade beim Umstellen von Click&Buy auf Kreditkarte angeben als ich nach der Umstellung in iTunes auf dem iPhone was kaufen wollte – wie auch zuvor in iTunes.
Abfragen kann man die also bei Apple. Und verifizieren wohl auch.
die abfrage dieser ziffern wird direkt beim kreditkartenunternehmen durchgeführt, nicht bei apple oder sonstwem
C&B hab ich nach etlichem Ärger endlich gekündigt. Die halten meine Daten noch 5 Jahre vor. Antiterror Gesetz. Ich selbst konnte nichtmal Rechnungsdaten über Jahreswechsel abrufen. Der Verein ist für mich gestorben. Am schlimsten finde ich, dass Apple solch einen (inkompetenten, -patibelen) Abrechnungsdienst überhaupt für sein iTunes Store zugelassen hat. British Empire eben. Aber der Dienst selber wurde in De gegründet und zwar subventioniert.
Noch was: wird das zurückgesetzte Passwort nicht an die Email gesendet? Die kann man doch auch nur mit dem Passwort Abfragen… Oder haben die ihm am Telefon ein neues Passwort gegeben?
Das ist doch mehr als bedenklich! Wie kann so etwas möglich sein?!? Und das bei einem Konzern Apple!!!
noch ein grund Itunes Karten zu nutzen und die CCard bei Apple nicht zu hinterlegen….
Full Ack. Ich nutze nur iTunes Karten.
Zusätzlich sollte die Apple ID nicht mit der Amazon eMail identisch sein.
Wer will schon 10 verschiedene E-Mail-Adressen haben, um dann bei jedem Online-Shop o.ä. eine andere E-Mail-Adresse verwenden zu müssen?
Das läßt sich nicht immer vermeiden, ohne sich direkt eine eigene Domäne zuzulegen.
Es wird auch an anderer Stelle möglich sein, die letzten 4 Stellen der Kredit Karte sich zugänglich zu machen. Soll Apple halt nach vier zufälligen Stellen der Karte fragen oder die voreingestellten Sicherheitsfragen nutzen.
Hier geht es nicht allein um iTunes, sondern um den gesamten iCloud Account. Mails, Bilder, etc.
Tja schon schade wenn man der Meinung ist man muss alles mit einer Plastikkarte begleichen ;)
Die iTunes Geschenkkarten sind bei mir auch aus Plastik :-)
Komisch…meine sind aus Kunststoff
Und im Osten aus Plaste
Und meine aus organischen Polymer :-)
Wobei ich die Gefahr für unsereins eher gering einstufe. Es muß dann schon jemand genau mich auserwählt haben. Passwörter en groß gibts so nicht, da viel zu aufwendig.
Der Artikel liest sich gut. Eine Verkettung unglücklicher Umstände, Dummheit und Dreistigkeit. Auf allen Seiten.
Wenn man bedenkt, das allein in den USA
durch Identitätsdiebstahl jährlich ca. 6,4 Mrd.US$
(das ist 3x ‚Curiosity‘ zum Mars!) Schaden entsteht,
gibt das einem schon zu denken. Doch der Hammer ist
ja, das Otto-Normalverbraucher das alles mitbezahlen muss.
Der Hammer ist, dass die Summe niemanden dazu bringt, etwas daran zu ändern!
Genau
Wenn es 6,4 Mrd.$ von Apple wären würde gleich was passieren!!!
ja, aber nicht das, was du gerne hättest.
Ruft doch msl bei der Deutschen Rentenversicherung an. Dort sagt man seinen Namen und Adresse und schwups man bekommt seine Arbeitgeber Gehalt und alles gesagt. Evtl. sagen ob der Beitrag von der Riesterente schin drauf ist.
Selbst bei den Telekomikern, etc. funktioniert das ähnlich.
Selbst bei Gmx erst den Account sprerren lassen, wenns danach freigeschaltet wird (2. Anruf) hat man ein neues Passwort.
So ruf ich auch gern bei anderen IT Firmen an und bekomme viele Infos. Selbst wenn ich als Mann Infos von meiner Frau abfrage, wollen die meisten nur kurz eine weibliche Stimme hören.
Wenn ich für jemand anrufen soll, lasse ich mir immer schriftlich das Einverständniss geben.
Probierts mal aus und lasst euch überraschen. Bitte nicht vorspielen, dass man jemand anderer ist, das dürfte Strafrechtlich problematisch sein. Klappt meistens auch wenn msn sagt das man im Auftrag von xy anruft (vorher Einverständniss geben lassen).
Daher wundert mich das nicht, dass sowas geht und wunder mich das es nin in den Medien ist.
Leider geht sowas gerade dann nicht, wenn man darauf angewiesen ist :/ Aber im Ganzen ist das schon erschreckend, wie einfach soetwas ist. Selbst bei den „normalen“ Versandhäusern.