News Apple schließt Sicherheitslücke für „iCloud Hack“

[iSight2TheBlind]

@RedXon
Bitte solche Beiträge immer belegen!

Ich glaube schon, dass viel Wahrheit in dem steckt was du schreibst - insbesondere auch, weil auch einige seriöse Medien auch berichten, dass einige Bilder sehr alt oder Fakes sind - aber eine Quelle (oder gerne auch mehrere) ist immer besser.

Bei einigen (wohl doch nicht so richtig) seriösen Medien gab es auch zensierte Bilder und da fiel auf, dass die Bildformate teilweise deutlich von dem normalen Format in dem ein iPhone ein Bild aufnimmt abwichen.
Wenn solche Bilder aus iCloud stammen bin ich Mickey Maus, denn dass ein Star erst Mal seine Nacktbilder beschneidet, verkleinert oder sonst etwas damit tut kann ich nicht glauben, höchstens als absolute Ausnahme.

 

[RedXon]

Ich kann es schon belegen, wobei ich allerdings nicht weiss, auf was ich hier verlinken darf/soll und auf was nicht.

Zudem predige ich ja keine in Stein gemeisselte Wahrheit sondern mein momentanes empfinden der Situation nachdem ich etwas recherchiert habe.

Offenbar haben die entsprechenden Stars aber auch schon danach gesucht, denn einige wissen ja wohl genau um welche Bilder es sich handelt (Tweet von Becca Tobin: "Merry XXXmas!").

Offenbar sind die "Handelsthreads" auf Anon-IB noch online (habe aber nur Screenshots davon gesehen, welche teilweise auch hier sind http://gawker.com/is-this-4chan-offshoot-the-ground-zero-for-the-leaked-c-1629190208) aber ich habe mich auf die Seite gewagt (legalität mal am Rande gelassen) und naja... den Thread habe ich wie gesagt nicht gefunden, nur halt die entsprechenden Bilder in 100facher Ausführung und viele Geldgierige typen, die versuchen mit den schon veröffentlichten Bildern noch Geld zu machen...

Zudem hat es Bilder, welche man durch Google jagen kann und dabei kommt heraus, dass diese auch schon vor Monaten teilweise auf gewissen Seiten gepostet wurden, jedoch halt nur auf relativ kleinen und unbekannten Seiten, so dass es nicht an die grosse Öffentlichkeit geriet und die Medien nichts davon gewusst haben... Daher ist der "grosse Leak" ja auch erst jetzt passiert.

 

[iSight2TheBlind]

Damit ist der "iCloud-Hack" also nun ein "Irgendwas und evtl. iCloud-Hack" geworden.
Oder die Lücke um die es gehen soll - sofern sie je existierte - gab es schon sehr lange und das Material stammt wirklich aus iCloud, wurde aber erst jetzt auf dem Weg den du beschreibst bekannt.

Bleibt neben so vielen anderen Fragen die eine große Frage: Ist der Zeitpunkt Zufall oder Absicht?
Am Donnerstag gingen die Einladungen für die iPhone 6 Präsentation raus, am Samstag (soweit ich das richtig sehe) kursieren plötzlich Nacktfotos im Web die aus einem iCloud-Hack stammen sollen...

Kann natürlich Zufall sein, aber es würde mich in jedem Fall wundern wenn gerade nicht in der Firmenzentrale einer gewissen Firma mit fragwürdigem Geschäftsgebaren - beispielsweise bezahlten Forenbeiträgen die HTC-Geräte runtermachen sollten - die Sektkorken knallen.

 

[gaym0r]

Dann wird die IP eben alle X Sekunden manipuliert und somit verändert. Das ist wohl für solch eine Hackergruppierung noch eines der geringeren Probleme.

Und wie stellst du dir das technisch vor, dass du alle x Sekunden deine external IP-Adresse änderst?

Achja, es ist übrigens wenn überhaupt eine Script-Kiddie Gemeinschaft, keine Hackergruppe.

 

[MaverickM]

Mir scheint das man für Hollywood nicht viel Intelligenz mitbringen muss. Anders kann ich es mir nicht vorstellen warum man so blöd ist und solche Fotos auf einem Cloadservice speichert.

Ich sehe da kein Problem. Warum sollte man solche Fotos da nicht drauf speichern? Oder wo ist der Unterschied zu anderen geklauten Daten? Nur, weil man ein bisschen nackte Haut sieht?

Trauriger ist eher, dass Apple hier offenbar geschlampt hat. Mit Ausnahmsweise mal etwas prominenteren Folgen.

Andererseits muss man auch sagen, dass nicht nur den Schauspielern die Kompetenz im digitalen Bereich fehlt. Das ist allerdings auch ein Stück weit Psychologisch bedingt. Es ist selbstverständlich, sein Auto in die Werkstatt zu bringen, wenn es Defekt oder nicht mehr sicher ist. Seine Heimelektronik versucht aber jeder selbst Stümperhaft zu "verarzten". Kein Wunder, dass dann bei Prominenten, die ja ständig unter Beschuss sind, mal etwas schief geht.

 

[frankpr]

Mir scheint das man für Hollywood nicht viel Intelligenz mitbringen muss.

Wie schon auf Seite 1 jemand geschrieben hat, auch Promis sind Menschen wie Du und ich, auch dort gibt es sehr und weniger intelligente, so, wie es auch bei den Usern dieses Forums ist. Hollywood Promis pauschal mangelnde Intelligenz vorzuwerfen, ist also schon etwas dreist.

 

[thomaso66]

Trauriger ist eher, dass Apple hier offenbar geschlampt hat. Mit Ausnahmsweise mal etwas prominenteren Folgen.

Was ja erst noch zu beweisen wäre, wenn betroffene Sagen sie setzen kein Produkt von Apple ein, können zumindest ihre Fotos wohl nicht aus dem angeblichen icloud Hack stammen, wenn man Android benutzt...ist nun Google betroffen?

Oder ein anderer Dienst? hier wurde meiner Meinung mal wieder schnell die Sau durchs Dorf getrieben, ohne das ein Verifizierter Nachweis geführt wurde, das diese Foto´s aus der iCloud stammen.

Die Sache bleibt also Interessant wo her die Bilder und Video Clips nun wirklich Stammen.
Nur weil Irgendjemand behauptet die iCloud wurde gehackt...muss es immer noch nicht stimmen.

 

[Jan]

Artikel-Update: Nach „40 Stunden Untersuchungen“ hat sich Apple auch offiziell zu Wort gemeldet. Der Konzern bestätigt, dass die entwendeten Bilder aus iCloud stammen. Apple widerspricht allerdings Behauptungen, Hacker hätten sich den Zugriff über eine Brute-Force-Attacke auf Find My iPhone verschafft. In allen von Apple untersuchten Einzelfällen sei der Account durch eine gezielte Attacke unter Kenntnis des Benutzernamens und Ausnutzung der hinterlegten Sicherheitsfragen beim Verlust des Passwortes gekapert worden.

Apple ruft Kunden erneut dazu auf, die Zwei-Wege-Authentifizierung zu aktivieren. Um die Hintermänner der Attacke dingfest zu machen, wird Apple eng mit den Strafverfolgungsbehörden zusammen arbeiten.

 

[onkel_axel]

also wurde dich sicherheitsabfrage und deren antwort darauf brutforced?
fast noch sinvoller als das mit den passwörtern

 

[Plumpsklo]

Trauriger ist eher, dass Apple hier offenbar geschlampt hat. Mit Ausnahmsweise mal etwas prominenteren Folgen.

Apple hat hier nicht geschlampt, sondern die Betroffenen selbst. Apple hat die sog. 2-Wege Authentifizierung und diese sollte für sensible Daten auch genutzt werden. Die Betroffenen haben hier selbst geschlampt.

 

[Kasmopaya]

Die ganze Sache erinnert mich irgend wie an das hier: https://www.youtube.com/watch?v=0Kb245BanyI

Und dann hinter her auch noch verwundert und überrascht reagieren. Alles was mit Software zu tun hat ist nie 100% sicher. An solchen Tagen wäre ein Internetführerschein mal wieder Gold wert.

 

[vincez]

Spannend. Ob man das glauben kann sei mal dahingestellt. Kurz vor dem Start eines neuen großen Bezahlsystems in 6 Tagen, weist man alle Sicherheitsbedenken natürlich von sich. Dass hier diese Lücke existierte muss sicherlich nicht diskutiert werden. Dass diese alleine genug war um die Konten zu komprimitieren sei aber auch dahingestellt, da es bei der Frequenz der Abfragen (abhängig von der Passwortstärke) eher unwahrscheinlich war, ein Konto allein mit dieser Methode zu knacken. An der Stelle kam sicherlich das Social-Engineering mit ins Spiel um das Wörterbuch auf die Person anzupassen. Aber gut - viel Spekulation...

 

[MaverickM]

Nun, damit dürfte ja klar sein, dass es wieder mal Schlamperei der Benutzer ist. Insofern tun mir die Damen alle nicht Leid. Wer offensichtliche Antworten auf Sicherheitsfragen gibt (Man gibt keine richtigen Antworten an!), und keine Zwei-Faktor-Authentifizierung nutzt, hat halt selbst Schuld.
Was natürlich auf keinen Fall entschuldigt, dass die Fotos geklaut wurden. Das ist und bleibt eine Straftat.

Aber schön, dass Apple ausnahmsweise mal flott reagiert und ein Sicherheitsloch schnell fixt, da war man ja bisher eher spät denn früh dran...

 

[ugurano]

das problem liegt nicht an apple, sondern der nurtzer der seine sachen in die cloud reinstellt, und private sachen naja fail sage ich da nur.

 

[c2ash]

Sorry, aber mir fiel gerade ein Kalauer ein: iCloud -> gCloud *SCNR*

 

[Decius]

iCloud Hack ist schon fies, meine Bilder liegen in der OneDrive Cloud, da kanns mich zwar auch erwischen. ABER ich habe keine Nacktbilder in der Cloud gespeichert. Dabei habe ich weniger Angst vor der NSA & Co., sondern mehr vor irgendwelchen Hackern, die das im Netz verteilen.

Bei OneDrive wirst du für Nacktphotos auch gesperrt.

Warum eigentlich nun so ein Aufschrei? Normalerweise sind die Hollywood Promis gar nicht so prüde. Die sollten mal ehemalige DDR Freikörperkultur genießen, um zu entspannen.

Waren nicht nur Nacktphotos, sondern auch intime Photos beim Sex dabei. Nebenbei ist eine Verletzung der Privatsspähre eine Verletzung der Privatsspähre, egal wie berühmt jemand ist oder was der Inhalt ist. Was für deine Gesundheitsdaten oder Emails gilt, sollte auch für deine Photos gelten.

Tut mir leid, aber Nackfotos von sich in die Cloud zu laden ist dumm. Es sei denn man spekuliert auf eine frühere, oder spätere Veroffentlichung, oder es ist einem egal was mit den Bildern passiert.
Nichts ist sicher. Und das im Netz nichts mehr geheim ist sollte auch jedem klar sein.

Dem Opfer die Schuld geben ist immer leicht. Sagst du dasselbe wenn der BKA oder die NSA deine Onlineaktivitäten abgreift und speichert? Wärst du halt nicht online gegangen?

 

[MurphsValentine]

Und wie stellst du dir das technisch vor, dass du alle x Sekunden deine external IP-Adresse änderst?

Achja, es ist übrigens wenn überhaupt eine Script-Kiddie Gemeinschaft, keine Hackergruppe.

Die einfachste Form die mir spontan einfällt ist eine Batch Datei zu schreiben die dich alle 1/2 Sekunde neu mit dem Internet verbindet...
Und es gibt sicher noch andere Lösungen. Also technisch ist das kein Problem.

@News-Update:
Somit liegt die Schuld nicht bei Apple sondern beim User.
Hatte mich ja schon gewundert, dass es bei einem der ganz großen so einfach ist in die Accounts zu kommen...

 

[iSight2TheBlind]

Ich kann es schon belegen, wobei ich allerdings nicht weiss, auf was ich hier verlinken darf/soll und auf was nicht.

Sofern du nicht zufällig Nik Cubrilovic bist ist nun alles was du gesagt hast mit einer weiteren Quelle belegt, siehe hier die sehr ausführliche Zusammenfassung was wohl passiert ist: https://www.nikcub.com/posts/notes-on-the-celebrity-data-theft/

Ich hoffe du verzeihst mir das anfängliche Misstrauen

Laut Cubrilovic gibt es keinen Hinweis darauf, dass hier die Find my Friends/iPhone-API genutzt wurde und es liegt nahe, dass die Zugangsdaten über normales Phishing/Social Engineering und sonstige Standardtechniken erlangt wurden.
Wie eben auch wahrscheinlich ehrliche Antworten auf Sicherheitsfragen, was bei einer Person mit Wikipediaeintrag und Fanclub natürlich keine gute Idee ist.
(Es ist trotzdem nicht die Schuld der Opfer sondern die derjenigen die hier "gehackt" haben)

@c2cash
Darauf kam man in der c't auf der Comicseite schon vor Jahren - "Speicher deine Daten bei Google, das die Daten klaut" ^^
EDIT: Link zum Comic

 

[22428216]

Es musste ja so kommen und wird wohl auch noch schlimmer kommen.
Die Leute achten 0 auf ihre Daten. Erst wenn die Menschen direkt einen "tritt" bekommen,
wird sich was ändern. Das war ein leichter Rempler.

Es liegt wohl auch daran, dass viele Apps die Bilder automatisch auf einer Cloud speichern, oder irgendwo hochladen wollen.
Ob das bei Apple nun auch so ist, kann ich nicht sagen. Da haben die betroffenen Nutzer wohl einfach einmal zu wenig in die Einstellungen geschaut. Selbst schuld.

 

[Wattwanderer]

Hätte man es pünktlich zur Ankündigung des neuen iPhones nicht wieder bei einem geklauten Prototyp sein lassen können?