Hack-Opfer Honan enttäuscht von Amazon und Apple

7. August 2012, 11:21
  • Ein wenig Recherche und ein paar Anrufe genügten, um Honans digitales Leben ins Chaos zu stürzen.
    foto: photodisc

    Ein wenig Recherche und ein paar Anrufe genügten, um Honans digitales Leben ins Chaos zu stürzen.

Journalist schildert, wie der Einbruch in sein digitales Leben abgelaufen ist

"Wired"-Journalist Mat Honan, der kürzlich Opfer eines umfangreichen Angriffs geworden ist, macht Sicherheitslücken bei Amazon und Apple für die Attacke verantwortlich. In kurzer Zeit waren sein iPhone, sein iPad und sein MacBook ohne sein Einwirken zurückgesetzt worden. Auch die Kontrolle über seinen Amazon-, Twitter- und Gmail-Account hatte er eingebüßt.

Opfer gesteht Leichtfertigkeit

Auch sich selbst nimmt er im Rahmen eines "Wired"-Artikels in der Schuldfrage nicht aus. "Meine Accounts waren leichtfertig miteinander verknüpft. Über mein Amazon-Konto kamen die Hacker an meinen Apple-Account, der ihnen half, an mein Gmail-Postfach zu kommen." Dass Vorsicht die Mutter der eigenen Online-Identität ist, hat nun auch er erkannt.

"Hätte ich Two-Factor-Authentifizierung bei meinem Google-Account genutzt, wäre vielleicht all das nicht passiert, denn ihr ultimatives Ziel war es, mein Twitterkonto zu kapern und damit Unheil zu stiften." Ebenso bereut er, keine Backups auf seinem Mac durchgeführt zu haben. Der Rechner liegt nun bei Apple, im schlimmsten Fall verliert er mehr als ein Jahr an E-Mails, Dokumenten oder sämtliche Fotos seiner kleinen Tochter.

Albtraum Cloud-Zeitalter

Der Tathergang zeigt nach Honans Ansicht auch, dass es in den Kundendienstzentren von Amazon und Apple bedenkliche Sicherheitsprobleme gibt. Der Tech-Support von Apple ermöglichte den Hackern erst die Kontrolle über den iCloud-Account des Journalisten. Die auf seinem Amazon-Konto offengelegten vier Ziffern seiner Kreditkartennummer und seine Adresse hatten dort genug Vertrauen erweckt.

Jene Information, die Amazon für unbedeutend genug gehalten hatte, um sie im Klartext anzuzeigen, war für Apple also wichtig genug, um die Betrüger für den echten Mat Honan zu halten. „Das zeigt Fehler in den Datenmanagement-Policies, die in der ganzen Tech-Industrie verbreitet sind. Das weist auf einen drohenden Albtraum hin, während wir in das Zeitalter des Cloud Computings und der Connected Devices übergehen.", so Honans düstere Prognose.

Alle Wege führen in die "Wolke"

Seit diesem Erlebnis hat der Redakteur auch von weiteren Vorfällen gehört, in denen die Accounts von Bekannten kompromittiert wurde. Eine Person dürfte gar von der selben Gruppierung attackiert worden sein. Er ist der Meinung, dass cloudbasierte Systeme eine fundamentale Änderung der Nutzerauthentifizierung benötigen, da Passwörter alleine nicht mehr ausreichen.

Denn die User rund um die Welt werden der "Wolke" kaum entkommen können. Google arbeitet cloudbasiert, Apple gibt sich große Mühe, seine Nutzer zur Verwendung der iCloud zu bewegen und Windows 8 ist ebenfalls rund um Microsofts Onlinedienste errichtet.

Hacker als Schnitzeljäger

Und so lief der Hack ab: Der Bösewicht, der sich im weiteren Verlauf als "Phobia" identifizierte, hatte es auf Honans Twitteraccount abgesehen. Auf dessen Profil fand er einen Verweis auf seine persönliche Website, wo wiederum seine Gmail-Adresse veröffentlicht war. Über das Passwort-Wiederherstellungsverfahren des Google-E-Maildienstes gelangte er an Honans Apple ID, die als alternative Adresse eingestellt war und leicht zu erraten war, obwohl nur das erste und letzte Zeichen des Kontonamens lesbar waren.

Schließlich rief ein Partner von Phobia bei Amazon an, konnte sich dank Adresse (aus der Whois-Abfrage von Honans Homepage) und E-Mail erfolgreich als Mat Honan vorstellen. Er gab an, eine Kreditkarte zu seinem Konto hinzufügen zu wollen. Schließlich tippte er eine gefälschte Kartennummer ein. Danach folgte ein Anruf beim Kundensupport, wo er vorgab, nicht mehr auf seinen Account zugreifen zu können.

Amazon und Apple schweigen

Hier nutzte er Name, Adresse und die eben eingegebene Kreditkartennummer, um eine E-Mail zur Rücksetzung des Passworts an eine neue Adresse zugesandt zu bekommen. Im Amazon-Konto eingebrochen, war ihm schließlich der Zugriff auf die letzten vier Stellen seiner echten Kreditkarte möglich. Honan merkt hierzu an, dass man bei jeder Telefonbestellung einer Pizza mit Kreditkarte dem Gegenüber genug Daten gibt, um sich derartigen Zugriff zu verschaffen.

Der Rest ist Geschichte. Während die Hacker ihn lediglich blamierten und auf seine Kosten rassistische Tweets verschickten, hätten sie sich auch Zugang auf sein Bankkonto verschaffen oder Leute aus seinen Kontakten in das Schlamassel mit hineinziehen können.

Die Schwachstellen wurden seitens Amazon und Apple noch nicht behoben, denn alle Exploits konnte das Wired-Team bislang erfolgreich reproduzieren. Beide Unternehmen haben auf Anfrage des Mediums bislang noch keine Stellungnahme abgegeben.

Vom Ökosystem im Stich gelassen

"Ich bin enttäuscht, dass das Ökosystem, in das sich so viel Vertrauen gelegt habe, mich so im Stich gelassen hat. Ich bin verärgert, dass Amazon es so einfach macht, jemanden in fremde Konten einbrechen zu lassen.", meint Honan. Auch an Apple lässt er kein gutes Haar, da man auch dort den Zugriff auf sein Konto zu leicht ermöglicht hat.

"Ich habe mich dort angemeldet um Songs um 99 Cent zu kaufen und über die Jahre ist diese ID zu einem Zugang geworden, der meine Telefone, Tablets, Computer und mein komplettes Datenleben kontrolliert.", schildert Hinan. "Mit der AppleID kann jemand für tausende Dollar einkaufen oder Schäden anrichten, die man nicht in Geld messen kann." (red, derStandard.at, 7.8.2012)

Link

Wired

Share if you care
Posting 1 bis 25 von 102
1 2 3

Social Engineering =/= technische Sicherheitslücke.

Diese ganzen Online Speichermöglichkeiten sind zwar im ersten Augenblick, zwar "praktisch", aber sicherheitstechnisch absoluter Selbstmord.

Vertrauliche Daten sollten niemals in die "Hände" von Dritten übergeben werden, wo man keine Ahnung hat, wie sehr die "hochgelobte" Sicherheit real vorhanden ist.

""Ich habe mich dort angemeldet um Songs um 99 Cent zu kaufen und über die Jahre ist diese ID zu einem Zugang geworden, der meine Telefone, Tablets, Computer und mein komplettes Datenleben kontrolliert."

genau deswegen nutze ich kein apple

weil es bei google, microsoft oder sonst wem anders aussieht.. ;)

?

irre ich mich, oder ist es nicht so, dass bei relativ vielen diensten die tatsache "eigene" kreditkartennummer bzw. die letzten 4 kreditkartenzahlen zu wissen als einer der hauptauthentifizierungsmerkmale betrachtet wird?

Wer cloud nutzt, darf sich nicht wundern

dass die Daten auch in der cloud sind...

alter Hut

Leider ist es viel zu einfach an Passworte oder Accounts zu kommen. Und wenn es nicht einfach ist stellst du eine anfrage in bestimmte Foren und bekommst für 100€ das Passwort von einem Kind das dir das hackt......

?

und für was brauche ich das passwort des hackenden kindes?

Die wirklich wichtigen Dinge hat man nur im Kopf.

Wer so dumm ist und eine Remotelöschung durch andere zulässt, hat einen an der Klatsche.

Und wer ernsthaft meint, dass es ohne Cloud nicht mehr geht, obwohl die meisten da draussen nichtmal wissen was das sein soll geschweige denn es verwenden, hat genauso wenig Ahnung.

Jeder der Wildfremden seine Daten anvertraut schenkt diese her und es ist klar, dass sich das garantiert gegen ihn wendet.

Das heisst nicht, dass remote server (das ist die "Cloud" ja tatsächlich) was schlechtes sein müssen. Verwende selber DropBox. Aber du bestimmst was da draufkommt und du gibst nur Sachen drauf, die beruflich oder persönlich belanglos sind. Der Rest erfolgt über offline sync oder du bist einfach der grösste Versager und an allem selber schuld.

Appleuser halt. Bevor ich einer Firma - irgendeiner Firma - erlaube, aus 'Sicherheitsgründen' meine Devices löschen zu dürfen, würde ich mir eher die Hand abhacken. Aber die iSheep haben ja grenzenloses Vertrauen in ihre Sekte.

schonmal die agb von android smartphones durchgelesen?

ihre Hand?

Ich dachte sie wuerden den restlichen 6 Milliarden Menschen was antun, beachten sie SIRI, also Zunge rausschneiden nicht vergessen, die Fussmaler gibts auch also nicht aufs Fusabhacken vergessen, manche furzen aufs Keyboard, Loesung bleibt ihnen ueberlassen

Klischee?

mag sich wie ein klischee anhoeren, aber GENAU SO stelle ich mir einen macuser vor. aus erfahrung im bekanntenkreis - da kann mir eh nichts passieren, endlich keine viren und keine hacks ...

D.

Natürlich gibt's Viren für den Mac. Benutze Mac/Internet seit 7 Jahren, und habe außer 5 Viren, Würmer etc. nie etwas entdecken können. Und die waren für das Mac-System harmlos. — Mac-User sollten deshalb besonders aufpassen, damit sie nicht unversehens zu Schadstoff-Schleudern für Windows-Nutzer werden.

Außerdem benutze ich den Computer wie ein Auto: Will nicht mein eigener Bordmechaniker werden. Wer mir das vorwirft, hat einen an der Waffel.

merkst du nicht dass genau diese unwissenheit ausgenutzt wird von firmen wie apple und ms ?

2-step verification

http://support.google.com/accounts/... wer=180744

in Verbindung damit
http://support.google.com/accounts/... i&cbrank=0
ist es dann wie mit einem RSA-Token.

Warum haben Amazon und Apple das nicht? Das hacken des Account wird damit massiv erschwert.

Du schenkst also Google auch noch deine Telefonnummer. Bloss weilt du deren Mailservice verwenden willst ;) .

altes handy nehmen, simkarte kaufen (die sollte man halt einmal im jahr mit 10€ versorgen)

und schwupps, hat man ein nettes kleines securityterminal mit geheimer nummer, über das man sms für derartige 2-wege authentifizierung empfangen kann.

ohne das man sich zu sehr entblößt...

Sobald man den Authenticator installiert hat, kann man die Nummer wieder löschen.

alles in der Cloud und jetzt hat er mit seinem Notebook 1 Jahr Mails verloren

paßt irgendwie net ganz ...

Mails löscht jeder Server nach rund einem Monat. Außer du kriegst nie welche ;) .

in meinen mailaccount sind mails von 2007.. seltsam seltsam

Kommt darauf an wie gross dein Onlinespeicherplatz ist. Aber jenseits von datenschutzrechtlichen Spielereien wie Google oder GMX macht dir das niemand.

ich hab noch nie nen mailserver gesehn der einfach so mails löscht ohne das man es einstellt (es sei den es is voreingestellt)

Posting 1 bis 25 von 102
1 2 3

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.