"Wired"-Journalist Mat Honan, der kürzlich Opfer eines umfangreichen Angriffs geworden ist, macht Sicherheitslücken bei Amazon und Apple für die Attacke verantwortlich. In kurzer Zeit waren sein iPhone, sein iPad und sein MacBook ohne sein Einwirken zurückgesetzt worden. Auch die Kontrolle über seinen Amazon-, Twitter- und Gmail-Account hatte er eingebüßt.

Opfer gesteht Leichtfertigkeit

Auch sich selbst nimmt er im Rahmen eines "Wired"-Artikels in der Schuldfrage nicht aus. "Meine Accounts waren leichtfertig miteinander verknüpft. Über mein Amazon-Konto kamen die Hacker an meinen Apple-Account, der ihnen half, an mein Gmail-Postfach zu kommen." Dass Vorsicht die Mutter der eigenen Online-Identität ist, hat nun auch er erkannt.

"Hätte ich Two-Factor-Authentifizierung bei meinem Google-Account genutzt, wäre vielleicht all das nicht passiert, denn ihr ultimatives Ziel war es, mein Twitterkonto zu kapern und damit Unheil zu stiften." Ebenso bereut er, keine Backups auf seinem Mac durchgeführt zu haben. Der Rechner liegt nun bei Apple, im schlimmsten Fall verliert er mehr als ein Jahr an E-Mails, Dokumenten oder sämtliche Fotos seiner kleinen Tochter.

Albtraum Cloud-Zeitalter

Der Tathergang zeigt nach Honans Ansicht auch, dass es in den Kundendienstzentren von Amazon und Apple bedenkliche Sicherheitsprobleme gibt. Der Tech-Support von Apple ermöglichte den Hackern erst die Kontrolle über den iCloud-Account des Journalisten. Die auf seinem Amazon-Konto offengelegten vier Ziffern seiner Kreditkartennummer und seine Adresse hatten dort genug Vertrauen erweckt.

Jene Information, die Amazon für unbedeutend genug gehalten hatte, um sie im Klartext anzuzeigen, war für Apple also wichtig genug, um die Betrüger für den echten Mat Honan zu halten. „Das zeigt Fehler in den Datenmanagement-Policies, die in der ganzen Tech-Industrie verbreitet sind. Das weist auf einen drohenden Albtraum hin, während wir in das Zeitalter des Cloud Computings und der Connected Devices übergehen.", so Honans düstere Prognose.

Alle Wege führen in die "Wolke"

Seit diesem Erlebnis hat der Redakteur auch von weiteren Vorfällen gehört, in denen die Accounts von Bekannten kompromittiert wurde. Eine Person dürfte gar von der selben Gruppierung attackiert worden sein. Er ist der Meinung, dass cloudbasierte Systeme eine fundamentale Änderung der Nutzerauthentifizierung benötigen, da Passwörter alleine nicht mehr ausreichen.

Denn die User rund um die Welt werden der "Wolke" kaum entkommen können. Google arbeitet cloudbasiert, Apple gibt sich große Mühe, seine Nutzer zur Verwendung der iCloud zu bewegen und Windows 8 ist ebenfalls rund um Microsofts Onlinedienste errichtet.

Hacker als Schnitzeljäger

Und so lief der Hack ab: Der Bösewicht, der sich im weiteren Verlauf als "Phobia" identifizierte, hatte es auf Honans Twitteraccount abgesehen. Auf dessen Profil fand er einen Verweis auf seine persönliche Website, wo wiederum seine Gmail-Adresse veröffentlicht war. Über das Passwort-Wiederherstellungsverfahren des Google-E-Maildienstes gelangte er an Honans Apple ID, die als alternative Adresse eingestellt war und leicht zu erraten war, obwohl nur das erste und letzte Zeichen des Kontonamens lesbar waren.

Schließlich rief ein Partner von Phobia bei Amazon an, konnte sich dank Adresse (aus der Whois-Abfrage von Honans Homepage) und E-Mail erfolgreich als Mat Honan vorstellen. Er gab an, eine Kreditkarte zu seinem Konto hinzufügen zu wollen. Schließlich tippte er eine gefälschte Kartennummer ein. Danach folgte ein Anruf beim Kundensupport, wo er vorgab, nicht mehr auf seinen Account zugreifen zu können.

Amazon und Apple schweigen

Hier nutzte er Name, Adresse und die eben eingegebene Kreditkartennummer, um eine E-Mail zur Rücksetzung des Passworts an eine neue Adresse zugesandt zu bekommen. Im Amazon-Konto eingebrochen, war ihm schließlich der Zugriff auf die letzten vier Stellen seiner echten Kreditkarte möglich. Honan merkt hierzu an, dass man bei jeder Telefonbestellung einer Pizza mit Kreditkarte dem Gegenüber genug Daten gibt, um sich derartigen Zugriff zu verschaffen.

Der Rest ist Geschichte. Während die Hacker ihn lediglich blamierten und auf seine Kosten rassistische Tweets verschickten, hätten sie sich auch Zugang auf sein Bankkonto verschaffen oder Leute aus seinen Kontakten in das Schlamassel mit hineinziehen können.

Die Schwachstellen wurden seitens Amazon und Apple noch nicht behoben, denn alle Exploits konnte das Wired-Team bislang erfolgreich reproduzieren. Beide Unternehmen haben auf Anfrage des Mediums bislang noch keine Stellungnahme abgegeben.

Vom Ökosystem im Stich gelassen

"Ich bin enttäuscht, dass das Ökosystem, in das sich so viel Vertrauen gelegt habe, mich so im Stich gelassen hat. Ich bin verärgert, dass Amazon es so einfach macht, jemanden in fremde Konten einbrechen zu lassen.", meint Honan. Auch an Apple lässt er kein gutes Haar, da man auch dort den Zugriff auf sein Konto zu leicht ermöglicht hat.

"Ich habe mich dort angemeldet um Songs um 99 Cent zu kaufen und über die Jahre ist diese ID zu einem Zugang geworden, der meine Telefone, Tablets, Computer und mein komplettes Datenleben kontrolliert.", schildert Hinan. "Mit der AppleID kann jemand für tausende Dollar einkaufen oder Schäden anrichten, die man nicht in Geld messen kann." (red, derStandard.at, 7.8.2012)