Nachrichten in aller Kürze
Alles zur Community
Nachrichten, die zu Ihnen kommen: Newsletter, Feeds und SMS
Alles zu unseren mobilen Angeboten: Apps, Mobilversion und SMS
Unsere Radio- und TV-Angebote
Die Zeitung im Internet: Abo, E-Paper, Anzeigen und mehr
Alles über die Redaktion von derStandard.at
Alles über Onlinewerbung, Stellenanzeigen und Immobilieninserate
Nach der umfangreichen Social Engineering-Attacke gegen den Wired-Journalisten Mat Honan hat Apple nun reagiert. Nachdem Honan im Detail geschildert hatte, wie die Übernahme seines digitalen Lebens möglich war, sind Passwortrücksetzungen per Telefonanruf nun nicht mehr möglich.
Wired erhielt die Information von einem AppleCare-Angestellten, während man erneut probierte, den Exploit des Hackers „Phobia" zu reproduzieren. "Unser System erlaubt uns nicht, Passwörter zurückzusetzen.", so der Mitarbeiter. „Ich weiß aber nicht, warum." Apple soll dabei sein, ein konzernweites "Wartungsupdate" durchzuführen.
Ob danach die Passwortwiederherstellung wieder telefonische möglich ist, bleibt abzuwarten. Vorerst ist ein Reset des Kennworts jedenfalls nur über appleid.apple.com oder iforgot.apple.com möglich.
Damit folgt man Amazon, wo man bereits im Laufe des gestrigen Tages die Sicherheitsrichtlinien im Kundenbetreuungs-Zentrum verschärft hat. Name, E-Mail und Wohnadresse reichen beim Online-Versandhändler nicht mehr aus, um sich zu identifizieren.
In Cupertino hat man sich mittlerweile auch zu einem Statement durchgerungen, laut diesem das Prozedere, das zum Honan-Hack geführt hatte, den "internen Richtlinien nicht vollständig" entsprochen hätte. Dies steht allerdings im Widerspruch zu den Aussagen des Mitarbeiters, der hier keinerlei Verstoß ortet. (red, derStandard.at, 08.08.2012)
Link:
Gründer Julian Assange verharrt derweil weiter in Ecuadors Botschaft in London
Serverbetreiber soll den Wipe ohne Vorwarnung bereits vor Monaten durchgeführt haben
Überwachungsprogramme gefährden das freie Internet - Wenig Transparenz in Österreich
Direkter Zugriff auf E-Mails und Telefonate von Millionen Menschen
Deutsche Kanzlerin sieht Netz als "Neuland" an und erntet dafür Hohn von Twitter-Nutzern
Bis zu zehn Jahre Gefängnis für das bloße Tragen von Masken
Prism-Aufdecker fühlt sich von Cheney-Angriff geehrt
Online-Video mit Oliver Stone, Maggie Gyllenhaal und Russell Brand
Streit zwischen Präsident der Interpretengesellschaft und Konferenzkoordinator
EU-Parlamentspräsident skeptisch über Verhandlungen im Rahmen des Freihandelsabkommen- Kritik am Bankgeheimnis in Österreich
Hersteller verkauft selbst Daten an die Werbebranche - Sieht keinen Interessenskonflikt
"Kein Datenaustausch mit der NSA" - Verteidigungsministerium schloss Kooperation nicht aus
Wird keine Einigung über lokale Server erzielt, könnte die Sperrung am 9. Juli beginnen
Erbitten verschiedene Auskünfte und fordern direkten Dialog mit Google
NSA-Abhöraffäre bringt grundlegende Verunsicherung bei NutzerInnen von Gmail und Co. - Ein Abgang ist trotzdem für die meisten unvorstellbar
Verfahren zu Österreich und Irland noch vor der Sommerpause
Onion Pi setzt WLAN-Hotspot für anonymes Surfen im Internet auf
Französische Vereinigung befürchtet, dass ihre Arbeit dann nicht mehr die ganze Gegenwart spiegelt
Facebook würde verschiedene Anfragen vermischen - Rückschritt für Benutzer
Polizei meldete Fund von je einer Tonne Heroin und Kokain
Verwaltungsinformationen sollen künftig weiterverwendbar sein - Daten werden in maschinenlesbarer Form angeboten
"Alles, was ich jetzt sagen kann, ist, dass die US-Regierung das nicht vertuschen können wird, indem sie mich inhaftiert oder ermordet"
Telefon- und Internetüberwachung der USA verschafft Klassiker ein Comeback
Binnen sechs Monaten
Über 100.000 Unterstützer - Kampagne nimmt Fahrt auf
natuerlich haben die mitarbeiter entsprechend der richtlinien gearbeitet.
Das zeigt sich schon daran, dass derselbe Hack von Honan und seinen Kollegen danach noch mehrmals durchgefuehrt werden konnte. Und ich geh einmal davon aus, dass die *nicht* immer wieder zufaelligerweise zum selben sachabearbeiter gekommen sind.
"nicht vollständig" und "nicht" (nach den Richtlinien) sind zwei verschiedene Dinge.
Natürlich haben die Mitarbeiter nicht vollständig nach dem Richtlinien gehandelt, denn der Passwortreset darf nicht ohne eindeutigen Nachweis der Identität durchgeführt werden, und genau das ist geschehen. Der ganze Trick bei Social Engineering ist ja, Menschen durch überzeugende Argumente, Tricks, manchmal auch Verführung etwas tun zu lassen, von dem sie eigentlich wissen dass sie es nicht tun sollten.
In welcher sicherheitsrelevanten Umgebung geht denn das bitteschön??
Jeder kann anrufen und behaupten, XY zu sein. Überprüfen kann das niemand, außer man hat Fingerabdrucksensoren am Telefon dabei ;-)
DAS kommt sicher in den nächsten Jahren ... ID-Chip onboard (Kunde & Gerät) .. das sollte ich mir wohl schnell patentieren lassen!
In recht vielen - macht ja auch Sinn.
Üblicherweise hast ein automatisiertes System mit Sprach- und Sprechererkennung.
Du musst dem System einen Text nachsprechen - hier rennt die Spracherkennung. Dies dient als Replay-Schutz. Dazu kommt die Sprechererkennung - diese autentisiert Dich.
Sowas rennt üblicherweise recht fein - klappt aber klarerweise nicht mit anonymen Kunden. Deswegen darf man aber grundsätzlich Passwortrücksetzungen per Tel nicht verteufeln :-D
Stellen sie sich vor beim Spar fällt einem Mitarbeiter eine Semmel runter und sie als Kunde bekommen deswegen bauchweh.
Spar reagiert wie folgt: Es gibt ab jetzt keine Semmeln mehr.
Tolle Sache oder?
Dieses "Feature" braucht wohl kaum einer... Ich mein, wieviele Leute gibt es wirklich, die Cloud-Services nutzen und zu blöd sind, sich ihr Kennwort zu notieren?
Genutzt hat es also kaum jemand - aber betreffen kann der Angriffsvektor Millionen Unschuldige.
aber es muss auch Kritik erlaubt sein ohne gleich als Hexenverbrenner dargestellt zu werden..was bei Apple schwer ist (wie früher MS)..selbst wenn man zu 100% neutral schreibt..
glaub genau dieses verhalten provoziert halt das bashing..
Sorry, aber das Post vom @Schere,Stein,… war doch wieder eine der ueblichen Generalansagen.
Den Passwort-Reset via Telefon vorerst zu verweigern ist die naheliegenste und schnellst wirksame Gegenmassnahme bis bessere Loesungen gefunden sind.
Und was ist die Reaktion hier? Apple nimmt seinen Kunden schon wieder etwas weg!?
Wenn Apple nicht sofort reagieren wuerde, dann wuerde man hier wieder darueber lamentieren, dass sie ewig fuer Sicherheitsupdates brauchen.
Das ist echt krankhaft!
... ist aber noch keine Entschuldigung, warum Apple sich gleich mal auf einen einzelnen Mitarbeiter abputzen will - insbesondere wo doch bekannt ist, dass der Angriffsvektor mehrmals funktionierte und daher wohl mehrere/alle Mitarbeiter so reagieren.
Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.
