Apple und Amazon reagieren auf iCloud-Hack
Nachdem es einem Angreifer gelungen war, per Remote-Wipe Daten auf dem iPhone, iPad und MacBook Air des US-Journalisten Mathew „Mat“ Honan zu löschen, ändern sowohl Apple also auch Amazon ihre Sicherheitsprozesse.
Als am vergangenen Freitag es zunächst Unbekannten gelungen war, das iPhone, iPad und das MacBook Air des US-Journalisten Mat Honan per Fernzugriff zurückzusetzen, ging dieser zuerst davon aus, dass diese an sein Apple-ID-Passwort gekommen seien und damit die Änderungen durchführen konnten.
Tatsächlich aber wurde sich in zwei Schritten Zugang zu Mat Honans Amazon-Account verschafft: Als erstes ergänzten die Angreifer telefonisch beim Amazon-Kundendienst die Kreditkarte Honans, wofür laut des Journalisten lediglich die Email-Adresse, der Name des Account-Inhabers und die Rechnungsadresse ausreichte. Mit einem zweiten Anruf war es dann unter Zuhilfenahme der geänderten Kreditkarte und einer Aussage, dass man keinen Zugriff mehr auf den alten Email-Account habe, möglich, eine neue Email-Adresse dem Amazon-Account zuzuweisen.
Bei der Übernahme des Amazon-Account fielen dem Angreifer auch die letzten vier Ziffern von Honans Kreditkarte in die Finger. Bei Apples Kundendienst AppleCare war es somit möglich mit diesen Ziffern und unter Angabe der Rechnungsadresse ein temporäres Passwort zu erhalten, mit dem sich Zugang zum iCloud-Account verschafft werden konnte. Honan erfuhr später vom Apple-Kundendienst und von einer Person, welche sich Phobia nannte und sich als sein Hacker ausgab, dass es spezifische Informationen gäbe, mit denen sich dieses Passwort ohne die Beantwortung der vom Benutzer festgelegten Sicherheitsfragen beantragen ließe. Laut Honan besaß der Angreifer keine Antworten auf diese Fragen.
Amazon gab in der Zwischenzeit bekannt, dass es nicht mehr möglich sei, diese Daten telefonisch zu ändern. Auch bei Apple hat man reagiert: Dort ist es dem Support zunächst verboten, die Apple-ID auf telefonischem Wunsch zurück zu setzen. Ob dies auch dauerhaft so bleiben soll ist nicht bekannt. Firmensprecherin Natalie Kerris räumte zudem auch eine Missachtung firmeninterner Vorschriften ein. Zudem war es Mitarbeitern des Online-Magazines „Wired“ noch am Montag möglich, sich mit genau dieser Methode weiterhin Zugang zu Apple-Accounts zu verschaffen.