ComputerBase Menü
Aktuelles

News Apple und Amazon reagieren auf iCloud-Hack

@timo82
Naja, nur weil der Account von der Cloud ist, hat das trotzdem nichts mit der Cloud an sich zu tun. Und die iCloud wurde ja nicht gehackt, sondern der Telefon-Support von Amazon und Apple. Ich finde die News-Überschrift falsch. Sollte eher heißen "Support-Hotline-Hack" oder "Verkettung von schlechten Verhaltensregeln", aber sicherlich nicht iCloud-Hack!

Übrigens für deine Liste, geht's da generell um fragwürdige Patentklagen?
Dann häng noch Google, Nokia, Motorola, Yahoo und Facebook an. Die machen den gleichen Müll nur ohne den ganzen Medienrummel. Kannste ja über Bing suchen, Google darfste ja jetzt nicht mehr nutzen! Aber ich glaube bei MS war dar auch irgendwas wegen Android...dann wohl doch eher Wolfram Alpha nutzen...hoffentlich benutzen die keine Oracle Database oder Java Programme, weil Oracle macht momentan allen die Hintern heiß wegen obskuren Patenten. Mmh, jetzt wirds ganz schön eng...
Lass die Firmen doch spielen, kann dir doch so am Ar... vorbei gehen. Das juckt da keinen ob ne Handvoll "Computernerds" irgendein Gerät von den kaufen oder nicht. Die meisten "Normalen" wissen nicht mal das da ne Klage läuft und du beschränkst dich nur selbst. Ist ja schon fast wie die Selbstgeißelung ausm Mittelalter.
 
@timo82
Nein, es wurde Zugang zum Apple-Account verschafft, der zufälligerweise auch gleichzeitig der iCloud-Account ist und der .me.com-Account.

Hier wurde nicht auf Daten aus der Cloud zugegriffen sondern auf das E-Mail-Postfach welches in Verbindung mit dem iCloud-Account steht.
Um die ganze Aktion zu verschleiern und Gegenmaßnahmen zu verhindern wurden dann die Geräte von Mat über die Fernlöschung gelöscht.

Ganz grob, evtl. vertue ich mich auch in Details, aber ungefähr so lief es ab:
Da wollte jemand an den Twitter-Account des Nutzers dran, weil der so einen so schön kurzen Namen hatte.

Ab da lief das ganze über Verbindungen der verschiedenen Accounts untereinander und Social Engineering.

Der Twitter-Account hatte als E-Mail eine Googlemail-Adresse, die hatte als Backup-Adresse eine @me.com-Adresse (das was mittlerweile ein iCloud-Accountname geworden ist).
Um an die Googlemailadresse zu kommen musste der Hacker also in das @me.com-Postfach.

Dazu fand der Hacker heraus wo Mat Honan wohnte und ging mit diesen Informationen zu Amazon.
Dort fügte er telefonisch eine neue Kreditkarte zu Honans Account hinzu, dazu musste er nur Namen und Adresse (who-is auf Honans Webseite) kennen.
Dann legte er auf, rief erneut an und sagte er hätte seine Zugangsdaten verloren.
Dazu musste er dann nur den Namen, Adresse und fatalerweise die neue Kreditkartennummer angeben, die er ja gerade frisch zuvor hinzufügte (da nahm er eine beliebige Zahlenfolge die die Prüfsumme passieren ließ).

Mit den nun bekommenen Zugangsdaten für den Amazonaccount schaute er dort im Benutzerkonto nach der alten Kreditkartennummer, es wurden die letzten vier Stellen angezeigt.
Mit diesen Daten rief er nun bei Apple an, sagte er hätte sein Passwort für seine @me.com-Adresse verloren, gab Namen, Adresse und die letzten vier Stellen der Kreditkartennummer an.
Der Supprtmitarbeiter gab ihm ein temporäres Passwort, der Hacker loggte sich in das Postfach ein - schickte dann bei Google das Zurücksetzen für das Googlemailkonto an die Backupadresse, die er ja nun in seiner Gewalt hatte, übernahm so das Googlemailkonto und konnte damit dann wiederum das Twitterkonto übernehmen.

Um zu verhindern, dass Honan davon etwas mitbekam oder sich wehren konnte hat ein weiterer Hacker dann in dem iCloud-Account die Fernlöschung von Honans iPhone, iPad (iirc) und MacBook Air eingeleitet.


Ob auf die Daten aus der Cloud selbst zugegriffen wurde ist unbekannt, aber auch völlig egal, sie sind für diesen Angriff völlig irrelevant gewesen.

Das Problem bei dieser Sache waren Sicherheitspolicies die nicht aufeinander abgestimmt waren und dass Honan Fernlöschung aktiviert hatte.

Das katastrophale bei Amazon war, dass mit einfach zu bekommenden Informationen die Änderung einer Kreditkartennummer möglich war und in einem anderen Anruf dann mit dieser selbst hinzugefügten Nummer ein Zugriff auf das Konto ermöglicht wurde - das geht schon mal gar nicht.

Der andere negative Punkt war, dass Apple für das Zurücksetzen von Passwörtern am Telefon nur Daten verlangte, die Amazon (über diesen Trick) freiwillig herausgab bzw. die jeder 16jährige der bei Pizza Hut am Telefon Bestellungen entgegennimmt bekommen würde (ist ein Zitat, das ich irgendwo aufgeschnappt habe).

Vorher und nachher kamen auch noch Fehler von Honan selbst dazu, beispielsweise die Verknüpfung dieser vitalen Accounts untereinander, so dass ein kompromittierter Account andere nach sich ziehen konnte und dass er sowohl kein Backup hatte als auch sein MacBook Air mit aktivierter Fernlöschmöglichkeit nutzte.

Weitere Details hier:
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
 
GrooveXT schrieb:
@timo82
Naja, nur weil der Account von der Cloud ist, hat das trotzdem nichts mit der Cloud an sich zu tun. Und die iCloud wurde ja nicht gehackt, sondern der Telefon-Support von Amazon und Apple.
Zum Vergrößern anklicken....

Es hat nichts mit der Cloud zu tun, wenn sich da jemand einloggt und das Handy zurücksetzt?

Der Telefon-Support von Amazon und Apple funktioniert doch noch. Der wurde doch auch gar icht gehakt, sondern jeweils ein Account

GrooveXT schrieb:
Übrigens für deine Liste, geht's da generell um fragwürdige Patentklagen?
Dann häng noch Google, Nokia, Motorola, Yahoo und Facebook an.
Zum Vergrößern anklicken....

Ausser Google nutze ich nichts. Von Motorola und Nokia kaufe ich eh nichts, Yahoo und Facebook nuutze ich auch nicht!

SILen(e schrieb:
@timo82
Nein, es wurde Zugang zum Apple-Account verschafft, der zufälligerweise auch gleichzeitig der iCloud-Account ist und der .me.com-Account.

Hier wurde nicht auf Daten aus der Cloud zugegriffen sondern auf das E-Mail-Postfach welches in Verbindung mit dem iCloud-Account steht.
Um die ganze Aktion zu verschleiern und Gegenmaßnahmen zu verhindern wurden dann die Geräte von Mat über die Fernlöschung gelöscht.

...

Um zu verhindern, dass Honan davon etwas mitbekam oder sich wehren konnte hat ein weiterer Hacker dann in dem iCloud-Account die Fernlöschung von Honans iPhone, iPad (iirc) und MacBook Air eingeleitet.
Zum Vergrößern anklicken....

Danke.
Wenn sich irgendjemand (der es eigentlich nicht soll) auf einen deiner Accounts einloggt, in dem er irgendwie an die Daten rankommt, dann hat dieser jemand den Account doch gehakt. Oder nennst du das anders?

Warum sich in die Cloud eingeloggt wurde ist doch egal. Der Hacker hat es getan, also (auch) die Cloud gehakt.

Über eben die Cloud sind dann doch auch die Daten von den Geräten gelöscht worden (bzw die Geräte zurückgesetzt).

Danke für den Link.
Wenn ich den Typen schon sehe. Die brille hätte eigentlich schwarz sein müssen.
 
timo82 schrieb:
Ich sehe es genauso und mache es auch genauso. Mal wird der Account eines einzelnen gehakt, mal der Anbieter. Den Schaden hat der User. Mir ist da die microSD Karte lieber. Die wird keiner haken.
Zum Vergrößern anklicken....
Die microSD-Karte braucht auch keiner hacken. Wenn man dir dein Smartphone inklusive microSD-Karte klaut, sind die Daten auf der Karte doch ein offenes Buch, selbst wenn das Smartphone selbst per Passwort gesichert ist.

Einfach die Karte in ein anderes Gerät einlegen und der "Finder" hat vollen Zugriff auf die dort abgelegten Fotos, Texte, Musik, Filme...
 
Nein, er hat sich in ein E-Mail-Postfach über social engineering gehackt.
Dieses E-Mail-Postfach teilt sich nun seit 2010 (wenn man für MobileMe zahlte, ansonsten seit 2011) jedoch auch die Zugangsdaten mit denen des RemoteWipe Dienstes von FindMyiPhone und seit Oktober 2011 sind es auch die Zugangsdaten zur iCloud.

Wenn jemand über social engineering an deine Zugangsdaten für YouTube kommen würde kann er mit hoher Wahrscheinlichkeit (wenn du die Accounts zusammengelegt hast) auch in dein Googlemail-Postfach und auch in dein Google Drive - wenn er dann jedoch nur deine YouTube-Videos löscht und dein Google Drive nicht anfasst ist das ganze ein Hack deines Google-Accounts, hat aber direkt mit dem Cloudspeicher von Google Drive nichts zu tun.

Wenn iCloud als Onlinespeicher nicht existieren würde hätte dieses Vorgehen auch funktioniert - man hätte es dann halt MobileMe-Hack genannt.
Genutzt wurden hier nämlich nur Funktionen die iCloud von MobileMe übernommen hat.
 
Cohen schrieb:
Die microSD-Karte braucht auch keiner hacken. Wenn man dir dein Smartphone inklusive microSD-Karte klaut, sind die Daten auf der Karte doch ein offenes Buch, selbst wenn das Smartphone selbst per Passwort gesichert ist.

Einfach die Karte in ein anderes Gerät einlegen und der "Finder" hat vollen Zugriff auf die dort abgelegten Fotos, Texte, Musik, Filme...
Zum Vergrößern anklicken....

Mir klaut keiner mein Handy. Abgesehen davon hätte der Finder auch Zugriff auf die Daten, die NICHT auf der Speicherkarte wären.

Das tolle bei diesem Hack ist, dass man davon ja nichts mitbekommt bzw erst, wenn es zu spät ist.

Das kann ja nachts passieren, wenn man schläft, sprich der Hacker kann stundenlang unbemerkt rumfummeln.
Ich halte das bei meinem Handy für ausgeschlossen!


SILen(e schrieb:
Wenn jemand über social engineering an deine Zugangsdaten für YouTube kommen würde kann er mit hoher Wahrscheinlichkeit (wenn du die Accounts zusammengelegt hast) auch in dein Googlemail-Postfach und auch in dein Google Drive - wenn er dann jedoch nur deine YouTube-Videos löscht und dein Google Drive nicht anfasst ist das ganze ein Hack deines Google-Accounts, hat aber direkt mit dem Cloudspeicher von Google Drive nichts zu tun.

Wenn iCloud als Onlinespeicher nicht existieren würde hätte dieses Vorgehen auch funktioniert - man hätte es dann halt MobileMe-Hack genannt.
Genutzt wurden hier nämlich nur Funktionen die iCloud von MobileMe übernommen hat.
Zum Vergrößern anklicken....

Ich nutze kein social engineering, habe keinen Youtube Account, kein Google Drive, keinen Cloudspeicher und kein MobileMe.

Ist aber auch eigentlich egal.
Wenn es so wäre und der Hacker würde den Cloudspeicher nicht anfassen, dann ürde doch auch nichts verloren gehen, oder?

Die Geräte wären nicht zurückgesetzt, also wären dort noch alle Daten drauf.
In der Cloud wäre auch noch alles...
 
timo82 schrieb:
Ich nutze kein social engineering...
Zum Vergrößern anklicken....
Du brauchst das auch nicht zu nutzen, das nimmt dir der Hacker schon ab :)

Social engineering bedeutet:
Bspw. lautet die Sicherheitsfrage zu deinem Email-Account ('Passwort vergessen' Prozess): Wie ist der Name Deines Haustiers?
Der Hacker, nicht notwendigerweise eine Person aus Fernost, besitzt u.U. bereits einige Informationen über Dich (Name, Ort) und/oder vermutet dass Du immer das gleiche Pseudonym verwendest (z.B timo82). Nun googelt sie und findet Dich als fleissigen Schreiber in einem Hundeforum, wo Du über Deinen Bello Erfahrungen austauschst. BAM!
 
Interessant dass hier mal nicht eine technische Sicherheitslücke angegriffen wurde sondern schlicht und einfach der Arbeitsprozess des Supports ausgenutzt wurde.
Extrapunkte für Kreativität an den "Hacker" :)
 
DanMan77 schrieb:
Du brauchst das auch nicht zu nutzen, das nimmt dir der Hacker schon ab :)

Social engineering bedeutet:
Bspw. lautet die Sicherheitsfrage zu deinem Email-Account ('Passwort vergessen' Prozess): Wie ist der Name Deines Haustiers?
Der Hacker, nicht notwendigerweise eine Person aus Fernost, besitzt u.U. bereits einige Informationen über Dich (Name, Ort) und/oder vermutet dass Du immer das gleiche Pseudonym verwendest (z.B timo82). Nun googelt sie und findet Dich als fleissigen Schreiber in einem Hundeforum, wo Du über Deinen Bello Erfahrungen austauschst. BAM!
Zum Vergrößern anklicken....

Da kannst du bei mir lange suchen. Ich habe bei google keinen timo Nutzernamen.

Bei den Sicherheitsfragen habe ich überall den blanken Unsinn eingetragen, weil ich keine Passwörter vergesse. Die einzige Chance wäre, bei mir zuhause einzubrechen und den richtigen Ordner in die Hand zu nehmen und die Passwörter zu finden, die da nicht im Klartext drinstehen.

Wenn jemand meinen Account hier (oder in einem anderen Forum) haken würde, dann könnte er im Kontrollzentrum meine Emailadresse sehen. Ist aber eine, die ich nur für Internetforen nutze. Die hat keinerlei Ähnlichkeit mit meiner Googlemailadresse...

Unmöglich wirds nicht sein, aber ich halte es für ziemlich schwierig bei mir.
 
timo82 schrieb:
Es hat nichts mit der Cloud zu tun, wenn sich da jemand einloggt und das Handy zurücksetzt?
Zum Vergrößern anklicken....
Nein. RemoteWipe Dienste gibt es auch einzeln, gab es auch schon vorher, und hat absolut nix mit Datenspeicherung in der Cloud zu tun. Wenn dein Handy so einen Wipe Dienst auch hat und du in Aktivierst, kann das auch ganz ohne Cloud passieren, auf deinem nicht-iPhone mit mSD Karte - Wipe gestartet, Karte leer.
DanMan77 schrieb:
Social engineering bedeutet:
Bspw. lautet die Sicherheitsfrage zu deinem Email-Account ('Passwort vergessen' Prozess): Wie ist der Name Deines Haustiers?
Der Hacker, nicht notwendigerweise eine Person aus Fernost, besitzt u.U. bereits einige Informationen über Dich (Name, Ort) und/oder vermutet dass Du immer das gleiche Pseudonym verwendest (z.B timo82). Nun googelt sie und findet Dich als fleissigen Schreiber in einem Hundeforum, wo Du über Deinen Bello Erfahrungen austauschst. BAM!
Zum Vergrößern anklicken....
Daher vermeide ich möglichst solche Anbieter und nutze wann immer möglich Bestätigungsmails und SMS. Diese ganzen dämlichen Fragen etc. bringen es ja doch nicht.
Bestätigungsmail würde ich bei mir als sehr sicher sehen: Account ist bei Google, einloggen nur nach Eingabe des SMS Codes möglich. Solang niemand mein Handy UND mein Passwort klaut, kann er bei keinem Anbieter, der vernünftigerweise auf Bestätigungsmails setzt, was ausrichten.
 
Zuletzt bearbeitet:
Hätte wäre wenn tralala.

Hier wurde es aber doch, dass es über die Cloud zurückgesetzt oder nicht?

Von so einem Wipe Dienst wüsste ich bei meinem Handy nichts. Wie kann man rausfinden, ob sowas nicht doch drauf ist?

Und wie macht ihr das mit SMS Code bei google? Ich brauche da nur Nutzernamen und Passwort.
 
SMS Code: https://support.google.com/accounts/bin/answer.py?hl=de&answer=180744
Ja, der Wipe Schalter befindet sich mit in "der Cloud" - Allerdings ist die Cloud bei Apple eben viel mehr als nur Datenspeicher, da sind solche Verwaltungsfunktionen enthalten, ein Mail Account etc. pp.
Nur weil es sich also zufällig in derselben Weboberfläche befindet, hat es noch lange nichts mit dem Prinzip der Cloud und ausgelagerter Datenspeicherung zu tun. Man könnte es auch als getrentnen Dienst mit getrennten Anmeldedaten aufsetzen, solange man das PW so leicht ändern kann hilft die Trennung von der Cloud auch nicht weiter. Wenn es dir Hilft, tausch den Begriff Cloud gegen Apple Account, der unter anderem eine Cloud bereitstellt, aber auch andere Sachen.

Eigentlich ist der Remote Wipe dazu gedacht, dass du im Falle eines Diebstahls dein Handy zurücksetzen kannst, damit der Dieb nicht an die Daten kommt. Ob dein Handy das hat, kann dir Google sicher sagen.
 
Dank dir.


Nutzt du zufällig diesen Google Authenticator?
Wenn das Teil offline funktioniert könnte damit doch auch jemand anders den Code generieren, oder?

Ich habe ein LG 4x HD. wenn ich LG 4x HD und remote wipe google finde ich da nichts, außer irgendwelche Hack Seiten...
 
Zuletzt bearbeitet:
Nö, auf meinem B2100 läuft sowas nicht^^.

Soweit ich die Anleitung verstehe, muss man aber bei der Einrichtung Gerät und Account fest verknüpfen, also wird dein Account nur die Codes von deinem Handy nehmen, jemand anders kann sich also nicht einfach die App installieren und damit in deinen Account rein.
 
RemoteWipe ist etwa sowas...

Deshalb sollte dir das ganze auch eigentlich ein Thema sein^^

Ein iPhone kann remote geortet, gesperrt und gelöscht werden, sofern man das einstellt - das hat aber nichts mit der Cloud zu tun, es nutzt nur die selben Zugangsdaten.

Das Gerät wurde ja nicht gelöscht indem man in die Cloud einbrach, dort alles löschte und das iPhone sich dann mit der "Leere" synchronierte, das iPhone wurde eben über RemoteWipe gelöscht.
Ob die Cloud danach noch gelöscht wurde kann ich grad nicht sagen, das wäre aber höchstens eine Vergrößerung des Schadens und hätte keinen Effekt auf den Ablauf des Hacks gehabt.

Der RemoteWipe wurde nur ausgelöst um Honan daran zu hindern mal schnell den Support von Apple anzurufen.

Und auf den Link kam ich nicht durch die Forensuche, sondern durch Google - quasi der erste Schritt des social engineering.
 
Dank auch dir.

Ich habe dieses RemoteWipe in Avast deaktiviert, weil ich da nicht ganz genau weiß, wann und wie das greift. Bevor alle Daten weg sind lasse ich das lieber.

Gückwunsch zum ersten Schritt "social engineering". Es nützt trotzdem niemandem was, zu wissen, dass ich mein Handy so abgesichert habe...
 
Das Problem am Social Engineering ist, dass es gerade bei Sicherheitsfragen voll reinschlägt.

So bekommen Nutzer ein falsches Gefühl für Sicherheit.

Bei Star Wars The Old Republic sind iirc 3 Sicherheitsfragen bei der Erstellung des Accounts zu beantworten, gleichzeitig sind das aber auch die üblichen banalen Sachen wie der Geburtsort, Mädchenname der Mutter usw.

Im Prinzip darf man auf diese Fragen nicht ernsthaft antworten, sondern muss als Antwort weitere "Passwörter" verwenden.

Das wissen aber die wenigsten.

Facebook hat beispielsweise folgende Fragen:
Nachname des Klassenlehrers in der 1. Klasse
Nachname des Klassenlehrers in der 3. Klasse
Straße in der man mit 8 Jahren wohnte
Geburtsstadt der Mutter
Beruf des Opas
Beruf der Oma

Auf die erste und zweite Frage haben mindestens 25 Menschen eine Antwort, nämlich diejenigen mit denen man in der Klasse war.
Die dritte Frage ist bei allen mit einem Eigenheim oft genug auch die aktuelle Straße.
Die Geburtsstadt der Mutter ist mit guter Wahrscheinlichkeit der Wohnort bzw. der Ort des nächstgelegenen Krankenhauses.
Die letzten Fragen beantwortet man in einer typischen Facebookkarriere irgendwann eh indem man
die Antwort in einem Statusupdate postet, a la "Ich mache meine Ausbildung zum Schornsteinfeger, das war schon mein Opa".

Sicherheitsfragen aus dem sozialen Umfeld sind in einem sozialen Netzwerk irgendwie fehl am Platz, denn dort umgibt man sich genau mit den Leuten, die diese Fragen auch beantworten können.
 
2 factor authentication wird ja von Google angeboten, das sollte eigentlich jeder Nutzen!

Paypal bietet das ja auch an....

Vorgegebene Sicherheitsfragen sind eh nicht das Ware, beides sollte frei wählbar sein, und nichts beinhalten was sich auch nur irgendwie im Netz rausfinden lässt..
 
ich kann auch nicht wirklich verstehen wie Sicherheitsfragen z.B. "Mädchenname der Mutter" oder sowas sein können, sowas lässt sich ja vorallem für Leute aus dem Bereich relativ easy rausfinden. Der Name des ersten Haustiers oder so ist da schon etwas komplizierter, außer man macht es wie Silence schon geschrieben hat einfach und postet sowas groß auf Facebook und sonst wo... aber auch hier ist es dann der Benutzer selbst der Schuld hat wenn er
1. sowas in die Welt raustrompetet
2. sowas als Sicherheitsfrage oder Passwort nutzt.
3. am besten noch für alle Accounts die er überhaupt hat!

also wie schon geschrieben hat hier vorallem der support versagt bzw. war doch zu Kundenfreundlich und hat und wurde auch absichtlich quasi gegeneinander ausgespielt.
 
Ich frage mich manchmal warum viele Firmen überhaupt Rechenzentren bauen, wenn auf dem Recner daheim (!) doch angeblich alles so bombensicher ist...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Jan
News Apple schließt Sicherheitslücke für „iCloud Hack“
4 5 6
Antworten
108
Aufrufe
34.519
Smagjus
Smagjus

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz