News Erpressung: Apple dementiert bis zu 560 Millionen gestohlene Konten
- Ersteller nlr
- Erstellt am
- Zur News: Erpressung: Apple dementiert bis zu 560 Millionen gestohlene Konten
0screamer0
Lt. Commander
- Registriert
- Okt. 2008
- Beiträge
- 1.446
@MyNamesPitt
Ahh du kennst die Wahrheit, dann ist ja gut
Ahh du kennst die Wahrheit, dann ist ja gut
@MyNamesPitt:
Schonmal dran gedacht, dass Apple vielleicht die Wahrheit sagt. Hussain hat damals auch die Wahrheit gesagt...
Aber ein einfaches Weltbild ist schön. Warum nicht einfach Apple bashen, wenn die Hacker in ein paar Tagen wirklich die Konten löschen. Dann kann man gerne sagen,"ich habs ja gewusst, ein drecksverein".
Schonmal dran gedacht, dass Apple vielleicht die Wahrheit sagt. Hussain hat damals auch die Wahrheit gesagt...
Aber ein einfaches Weltbild ist schön. Warum nicht einfach Apple bashen, wenn die Hacker in ein paar Tagen wirklich die Konten löschen. Dann kann man gerne sagen,"ich habs ja gewusst, ein drecksverein".
iSight2TheBlind
Fleet Admiral
- Registriert
- März 2014
- Beiträge
- 11.183
@MyNamesPitt
Es mag dir vielleicht entgangen sein, aber mittlerweile kann man auch Ziel eines Angriffs werden ohne dass die eigene Sicherheit beeinträchtigt wurde!
Yahoo hat sich in den letzten Jahren mehrere Male zig Millionen Nutzerdaten klauen lassen und auch andere Anbieter haben sich immer wieder bergeweise Logindaten klauen lassen.
Wenn ein Nutzer nun jedoch bei Yahoo ein Passwort verwendet hat, welches er auch bei seinem iCloud-Account nutzt, dann ist es natürlich prinzipiell möglich, dass sein iCloud-Account von einem "Hacker" (also jemandem der die Spalten "Benutzername" und "Passwort" aus dem Yahoo-Dump abtippen kann) angegriffen werden kann.
Da hat Apple jedoch erst einmal gar nichts mit zu tun und ihre Schuld ist es an keiner Stelle!
Sie bieten ja sogar die Zwei-Faktor-Authentifizierung an die jeder Nutzer nutzen könnte und die solche Angriffe ins Leere laufen lässt - aber hier gibt es ja sogar ein paar Aluhutträger im Thread, die aktiv davon abraten, weil Apple ja dann die Telefonnummer des Nutzers erfahren würde o.O (Wenn die erfahren, dass iMessage bei der Ersteinrichtung standardmäßig eine SMS an Apple versendet damit Apple die Telefonnummer des Nutzers mit iMessage verknüpfen kann...^^)
Dass Apple hier ein Lösegeld zahlt will wohl hoffentlich niemand, denn dann schickt morgen jeder Möchtegernkriminelle der Zugang zum Yahoo-Dump (oder den vielen anderen Dumps aus anderen Quellen) hat Erpresserbriefe an Apple und auch alle anderen Onlinedienstanbieter.
Das hier sind keine Hacker sondern Trittbrettfahrer, die Daten die jemand der wirklich etwas gehackt hat und veröffentlichte nutzen um damit eine Firma (mit einer lächerlich niedrigen Summe) zu erpressen, das ist so enorm niedrigschwellig und erfordert keinerlei Hack-Können, dass es eine Welle auslösen würde wenn sie damit durchkämen.
Apple hat hier keinen einzigen Fehler gemacht und jede andere Firma (bei deren Nutzerkonten Nutzer aus dem Yahoo-Hack (oder anderen) die gleichen Anmeldedaten verwendet haben) ist auf die gleiche Weise "angreifbar" bzw. erpressbar.
Als so eine Firma könnte man höchstens Daten aus solchen "Leaks" mit dem eigenen Kundenbestand abgleichen und diese Nutzer zwingen ihr Passwort beim eigenen Dienst zu ändern, ich gehe aber mal stark davon aus, dass das sicherlich auch manchen Aluhutträgern sauer aufstoßen würde.
Aber wenn das alle diese Firmen machen werden diese Nutzer wahrscheinlich wieder bei allen Diensten ein neues identisches Passwort verwenden und sobald der erste Dienst seine Daten gestohlen bekommt wären wieder alle anderen auch angreifbar.
Was Apple jetzt akut tun soll: Mehrfache Logins von einzelnen IPs verhindern, denn wenn die Erpresser ihre Drohung wirklich durchsetzen wollen müssen sie sich ja in 300+ Millionen iCloud-Accounts auf icloud.com anmelden um die verbundenen Geräte fernzulöschen.
Wenn plötzlich übermäßig viele Zugriffe auf icloud.com registriert werden und diese auch noch alle aus einem kleinen Pool an IP-Adressen stammen sollte es klar sein, dass das keine echten Nutzer sind, so dass die Anmeldung oder mindestens Fernlöschung dann nicht möglich sein sollte.
Es mag dir vielleicht entgangen sein, aber mittlerweile kann man auch Ziel eines Angriffs werden ohne dass die eigene Sicherheit beeinträchtigt wurde!
Yahoo hat sich in den letzten Jahren mehrere Male zig Millionen Nutzerdaten klauen lassen und auch andere Anbieter haben sich immer wieder bergeweise Logindaten klauen lassen.
Wenn ein Nutzer nun jedoch bei Yahoo ein Passwort verwendet hat, welches er auch bei seinem iCloud-Account nutzt, dann ist es natürlich prinzipiell möglich, dass sein iCloud-Account von einem "Hacker" (also jemandem der die Spalten "Benutzername" und "Passwort" aus dem Yahoo-Dump abtippen kann) angegriffen werden kann.
Da hat Apple jedoch erst einmal gar nichts mit zu tun und ihre Schuld ist es an keiner Stelle!
Sie bieten ja sogar die Zwei-Faktor-Authentifizierung an die jeder Nutzer nutzen könnte und die solche Angriffe ins Leere laufen lässt - aber hier gibt es ja sogar ein paar Aluhutträger im Thread, die aktiv davon abraten, weil Apple ja dann die Telefonnummer des Nutzers erfahren würde o.O (Wenn die erfahren, dass iMessage bei der Ersteinrichtung standardmäßig eine SMS an Apple versendet damit Apple die Telefonnummer des Nutzers mit iMessage verknüpfen kann...^^)
Dass Apple hier ein Lösegeld zahlt will wohl hoffentlich niemand, denn dann schickt morgen jeder Möchtegernkriminelle der Zugang zum Yahoo-Dump (oder den vielen anderen Dumps aus anderen Quellen) hat Erpresserbriefe an Apple und auch alle anderen Onlinedienstanbieter.
Das hier sind keine Hacker sondern Trittbrettfahrer, die Daten die jemand der wirklich etwas gehackt hat und veröffentlichte nutzen um damit eine Firma (mit einer lächerlich niedrigen Summe) zu erpressen, das ist so enorm niedrigschwellig und erfordert keinerlei Hack-Können, dass es eine Welle auslösen würde wenn sie damit durchkämen.
Apple hat hier keinen einzigen Fehler gemacht und jede andere Firma (bei deren Nutzerkonten Nutzer aus dem Yahoo-Hack (oder anderen) die gleichen Anmeldedaten verwendet haben) ist auf die gleiche Weise "angreifbar" bzw. erpressbar.
Als so eine Firma könnte man höchstens Daten aus solchen "Leaks" mit dem eigenen Kundenbestand abgleichen und diese Nutzer zwingen ihr Passwort beim eigenen Dienst zu ändern, ich gehe aber mal stark davon aus, dass das sicherlich auch manchen Aluhutträgern sauer aufstoßen würde.
Aber wenn das alle diese Firmen machen werden diese Nutzer wahrscheinlich wieder bei allen Diensten ein neues identisches Passwort verwenden und sobald der erste Dienst seine Daten gestohlen bekommt wären wieder alle anderen auch angreifbar.
Was Apple jetzt akut tun soll: Mehrfache Logins von einzelnen IPs verhindern, denn wenn die Erpresser ihre Drohung wirklich durchsetzen wollen müssen sie sich ja in 300+ Millionen iCloud-Accounts auf icloud.com anmelden um die verbundenen Geräte fernzulöschen.
Wenn plötzlich übermäßig viele Zugriffe auf icloud.com registriert werden und diese auch noch alle aus einem kleinen Pool an IP-Adressen stammen sollte es klar sein, dass das keine echten Nutzer sind, so dass die Anmeldung oder mindestens Fernlöschung dann nicht möglich sein sollte.
BrollyLSSJ
Vice Admiral Pro
- Registriert
- Juni 2007
- Beiträge
- 6.235
Da ich die iCloud nie aktiviert hatte, bin ich vermutlich nicht von betroffen.
fromdadarkside
Lt. Commander
- Registriert
- Dez. 2007
- Beiträge
- 1.623
Wieso bist du so überzeugt davon, dass der "Hack" real ist?MyNamesPitt schrieb:
C
CB01
Gast
Hmmm, haben nicht alle betroffenen vehement dementiert/geleugnet, und nach Jahren es doch zugegeben oder zugeben müssen, also ich würde nicht viel auf Apfels aussage wert legen.
onkel_axel
Captain
- Registriert
- Jan. 2010
- Beiträge
- 3.384
klingt alles sehr glaubwürdig
100.000 lächerliche dollar für fast die hälfte aller apple kunden
wenn einem gelingt die daten zu erbeuten, kann man mit sicherheit zu apple gehen und sagen "ich hab hier ne sicherheitslücke bei euch endeckt und hätte gerne 100.000 fürs finden"
100.000 lächerliche dollar für fast die hälfte aller apple kunden
wenn einem gelingt die daten zu erbeuten, kann man mit sicherheit zu apple gehen und sagen "ich hab hier ne sicherheitslücke bei euch endeckt und hätte gerne 100.000 fürs finden"
iSight2TheBlind
Fleet Admiral
- Registriert
- März 2014
- Beiträge
- 11.183
@MyNamesPitt
Entschuldigung, aber ich habe den Artikel (und andere zum Thema) gelesen, du wohl eher nicht.
Da steht nichts von Hackern die Sicherheitslücken ausgenutzt haben, da steht etwas von 'Hackern' die beim Versuch Apple zu erpressen abgewiesen wurden und jetzt den Druck erhöht haben indem sie selbst an die Presse gegangen sind.
Wie sie an Daten gekommen sind kann nur spekuliert werden, aber dieser Artikel selbst geht davon aus, dass es wohl eher keinen Einbruch bei Apple gab sondern die Daten stattdessen einfach aus vergangenen Einbrüchen bei anderen Diensten stammen.
Und wie onkel_axel schon sagt, wenn da jemand wirklich eine enorme Lücke in iCloud gefunden hätte könnte er über das Bug Bounty Programm von Apple wohl 50.000$ bekommen. Das ist etwas weniger als hier verlangt (75k 'bar' oder 100k in iTunes-Guthaben) aber dafür legal, ohne Gefahr der Strafverfolgung und obendrein auch noch bleibend - denn iTunes-Guthaben würde doch sofort gesperrt oder getracked werden.
Entschuldigung, aber ich habe den Artikel (und andere zum Thema) gelesen, du wohl eher nicht.
Da steht nichts von Hackern die Sicherheitslücken ausgenutzt haben, da steht etwas von 'Hackern' die beim Versuch Apple zu erpressen abgewiesen wurden und jetzt den Druck erhöht haben indem sie selbst an die Presse gegangen sind.
Wie sie an Daten gekommen sind kann nur spekuliert werden, aber dieser Artikel selbst geht davon aus, dass es wohl eher keinen Einbruch bei Apple gab sondern die Daten stattdessen einfach aus vergangenen Einbrüchen bei anderen Diensten stammen.
Und wie onkel_axel schon sagt, wenn da jemand wirklich eine enorme Lücke in iCloud gefunden hätte könnte er über das Bug Bounty Programm von Apple wohl 50.000$ bekommen. Das ist etwas weniger als hier verlangt (75k 'bar' oder 100k in iTunes-Guthaben) aber dafür legal, ohne Gefahr der Strafverfolgung und obendrein auch noch bleibend - denn iTunes-Guthaben würde doch sofort gesperrt oder getracked werden.
H
highks
Gast
Freak_On_Silicon schrieb:
Also 75.000 Bitcoin wäre nach aktuellem Kurs ungefähr 74,5 Millionen US Dollar, dafür müssten sie eher zusätzlich noch die Kontrolle über eine Rakete mit Atomsprengkopf haben, die auf Cupertino gerichtet ist!
Ich denke mal eher, dass sie recht wenig Geld fordern, weil sie denken, dass Apple dann einfach sicherheitshalber schnell bezahlt. So, wie wenn ein Ransom-Trojaner 100 Euro fordert - das ist nicht so viel Geld, dann bezahlen viele Opfer einfach schnell mal, um auf Nummer sicher zu gehen.
Aber solche Amateur-Gaunereien ziehen bei Apple wohl nicht, da haben sie dann doch nicht damit gerechnet, dass die IT von Apple sich 100% sicher ist, dass kein Einbruch stattgefunden hat. Bei irgend einem kleinen Unternehmen klappt sowas eher, denke ich.
Freak_On_Silicon
Lt. Commander
- Registriert
- Okt. 2007
- Beiträge
- 1.966
Ich kenn den Kurs, und ich finde dass 75 Millionen bei einem Barvermögen von über 200 MILLIARDEN nicht zu hoch gegriffen wären.
iSight2TheBlind
Fleet Admiral
- Registriert
- März 2014
- Beiträge
- 11.183
Bei Macrumors stand, dass sich eine andere Hackergruppe der Forderung noch angeschlossen hätte und den Erpressern sozusagen nochmal 250 Millionen Datensätze gespendet habe, so dass die ursprüngliche Zahl entsprechend anstieg.
