News Apple schließt Sicherheitslücke für „iCloud Hack“

[Silica]

Bein Bild von Apple hat einen knacks bekommen. Wo ich doch allen immer erzählt hab das sie sicherer sind als "die anderen".

Leist du mir 1000 Euro wenn ich dir Versichere das du es zurück bekommst?
Nein?
Warum nicht?
Glaubst du mir nicht?
Ich habe es dir doch versichert!
Schade

Nee sorry, ich finde es Naiv zu glauben das meine Daten bei so BigPlayer wie Facebook, Google, Apple und Microsoft, totsicher auchgehoben sind. Allein schon durch den Hintergrund das bei diesen großen Firmen davon auszugehen ist das der Staat mit drin hängen könnte. Und wenn der Staat zugriff darauf hat dann ein schlauer Hacker sowieso.

So Praktisch es auch ist, aber ich bin der Meinung das an einem Handy sei es iOs oder Android, ALLE Haken zu entfernen ist wo "Sync" steht, alle.
Habe ich schon immer so gemacht und werde es immer so machen selbst wenn ich dadurch leichte Komforteinschränkungen habe.
Leider (oder war es sogar absicht?) haben die Staaten vergessen ihre Bürger in Sache PC und Co richtig zu Schulen, früher war es hobby und heute ist es Alltag, mit den Nachteil das die Menschen die es als Hobby betrieben haben sich eher mit der Sache auseinandergestzt haben, heute ist es für viele ein Alltagsgegenstand wie ein Klo. Selbsterklärend. Aber so ist es halt nur bedingt.
Jetzt gab es halt mal (wieder) einen Rohrbruch....
Soll ich Mitleid mit diesen Naiven Menschen haben die meist auch noch viel mehr Kohle haben als ich??
Nein!
Zumal die (Erwachsene) Menschen aus diesen Sachen nicht lernen. Kinder packen nicht das zweite mal an eine heiße Herdplatte, ich habe es tatsächlich nicht mehr gemacht

 

[Wilhelm14]

Das Skript zum "iCloud Hack" hat solange funktioniert, bis Apple einen Riegel vorgeschoben hat. Und jetzt zeigen sie mit dem Finger auf die Geschädigten, sie wären zu unbesorgt mit ihrem Zugang umgegangen. Nicht gerade die feine Art.

 

[ruegen1]

Wieso wird Apple verteufelt??
Die Hacker sind die Kriminellen!

 

[iSight2TheBlind]

@Wilhelm14

Gibt es denn überhaupt Belege dafür, dass das Skript jemals funktioniert hat? Mal abgesehen von der Aussage des Entwicklers.

Laut dem Link den ich weiter oben gepostet habe war das Tool in den Kreisen in denen diese Bilder wohl schon seit vielen Monaten getauscht worden sind unbekannt und wurde nicht genutzt.
Das heißt nicht, dass die Lücke (auch vor dem Tool) nicht doch von jemandem benutzt wurde, aber zumindest sprach niemand darüber und stattdessen sprach man über viele andere Wege um in die Accounts zu kommen und diese führten offensichtlich auch zum Ziel.

Mit der entsprechenden Lücke - so sie denn überhaupt existierte - hat dieser Hack bzw. Leak (die Hacks fanden bereits vor Monaten statt, doch erst jetzt leakten die Dateien an die Öffentlichkeit) wohl einfach nichts zu tun und stattdessen lag der Knackpunkt wohl wirklich einfach bei schlechten Passwörtern, schlechten Sicherheitsfragen oder ganz grundsätzlichen Methoden an ein Passwort zu kommen wie beispielsweise Phishing.


Übrigens danke an Computerbase, die "iCloud Hack" in Anführungszeichen setzen. Das bezieht sich zwar mehr auf die Lücke selber als auf die Ereignisse namens "The Fappening", aber auf das Ereignis bezogen übersehen gerade viele Medien, dass der Zugriff auf ein Benutzerkonto durch ein durch Social Engineering/Phishing erbeutetes Passwort eben kein Hack der Plattform ist sondern allein ein "Hack" des Benutzerkontos.

 

[Palmdale]

Hm, 100mio Versuche reichen für die meisten Nutzer der Welt aus. Bei der Vielzahl an Passwörtern quer über alle Dienste, Mails, Konten, Foren, Clouds etc. pp. finden sich zahlreiche unter den Top 100 Mio.

Es gibt sogar Top 100 Listen der meist verwendeten Passwörter. Das noch auf 100mio aufzustocken und mit BruteForce durchlaufen zu lassen ist einerseits belustigend, andererseits erschreckend, wie Dienste-Anbieter allgemein und hier im Besonderen Apple überhaupt mehr als 3-10 Versuche zulassen. Dürfte bei den anderen wohl ähnlich schlecht um die Sicherheit bestellt sein und nicht Apple-exklusiv.

Bissl grinsen muss ich allerdings scho, da man sich ja immer in Perfektion wähnt. Seit Jobs ist das halt nicht mehr der Fall...

 

[Schrammler]

Wieso wird Apple verteufelt??
Die Hacker sind die Kriminellen!

Stimmt, aber dann aggiert(e) Apple trotzdem grob fahrlässig.
Ein simpler Schutz: 3 mal falsches Passwort eingegeben = Account gesperrt. Ganz einfach, das war aber hier nicht der Fall.
Passwortlisten per Software durchzuprobieren ist eine uralte Methode, nur bei Apple will man davon nichts gewusst haben? Lächerlich.

Leider zeigt dieser Vorfall nur, wieviel Sachverstand selbst bei namhaften Unternehmen herrscht, wenn es um Clouds geht. Den Nutzern die totale Sicherheit versprechen und dann bei simpelsten Dingen herumschlampen.

 

[j3tho]

Stimmt, aber dann aggiert(e) Apple trotzdem grob fahrlässig.
Ein simpler Schutz: 3 mal falsches Passwort eingegeben = Account gesperrt. Ganz einfach, das war aber hier nicht der Fall.

Das ist so einfach, wie es dämlich ist. Damit könnte jeder der deine E-Mail Adresse hat oder sie errät deinen Account sperren, indem er bei der Passworteingabe einfach irgend einen Nonsense reinschreibt.

 

[Wilhelm14]

Es wurde bestimmt schon weiter oben erwähnt. Brutforce funktioniert nur, wenn die Schnittstelle beliebig viele Zugriffe ohne Zeitlimit entgegen nimmt. Dagegen hilft ein einfaches Mittel, wie man es von AVMs Fritzboxen her kennt. Nach der ersten falschen Passworteingabe muss man 2 Sekunden bis zur nächsten Eingabe warten. Nach der zweiten Falscheingabe 4 Sekunden, dann 8 Sekunden. Brutforce-Attacken werden so ausgebremst.

Gegen Social Engineering muss man sich einfach selber schützen, da kann kein Dienstanbieter etwas für. Als Prominenter würde es sich anbieten, Auftritte auf Twitter, Facebook und co. separiert zu betreiben, wie ein Geschäftskonto. Privat nimmt man eine komplett getrennte Identität. Das mache sogar viele Normalbürger.

 

[Smagjus]

Dagegen hilft ein einfaches Mittel, wie man es von AVMs Fritzboxen her kennt. Nach der ersten falschen Passworteingabe muss man 2 Sekunden bis zur nächsten Eingabe warten. Nach der zweiten Falscheingabe 4 Sekunden, dann 8 Sekunden. Brutforce-Attacken werden so ausgebremst.

Eine weitere Lösung, die auch effektiv ist, ist einfach nach einer gewissen Anzahl von Versuchen den Loginversuch mit einem Captcha zu verbinden.