iCloud Account-Übernahme: Wired reproduziert Angriff erfolgreich – Freischaltcode von Amazon

Mat Honan, Opfer der gestern beschriebenen iCloud Account-Übernahme, hat seine Erfahrungen der letzten 48 Stunden unter der Überschrift „How Apple and Amazon Security Flaws Led to My Epic Hacking“ im amerikanische Technik-Magazin Wired zusammengefasst. Eine Lese-Empfehlung aus der uns zwei Informationen besonders wichtig erscheinen.

Freischalt-Code von Amazon: Obwohl der Hacker während seines Anrufes beim Apples Support keine Antworten auf die von Honan hinterlegten Sicherheitsfragen parat hatte, vergab Apple auf Nachfrage ein neues Account-Passwort. Legitimieren könnte sich der Angreifer mit den letzten vier Ziffern der Visa-Karte Honans. Eine Kombination die Amazon beim Zurücksetzen des Passworts automatisch anzeigt.

The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification.

Noch immer möglich: Wired selbst versuchte den Angriff am Montag nachzustellen und war erfolgreich.

On Monday, Wired tried to verify the hackers’ access technique by performing it on a different account. We were successful. This means, ultimately, all you need in addition to someone’s e-mail address are those two easily acquired pieces of information: a billing address and the last four digits of a credit card on file.

Die komplette Hintergrundgeschichte kann hier nachgelesen werden.