Zur mobilen Ansicht wechseln »

Social Engineering Apple und Amazon schließen Sicherheitslücken.

Foto: Doreen Salcher, Fotolia
Der prominente Fall von Mat Honan setzt Amazon und Apple unter Druck. Bis vor kurzem konnte noch mit wenigen Informationen das Passwort für Amazon- und iCloud-Accounts per Telefon zurückgesetzt werden, nun haben die beiden Unternehmen reagiert.

Der Fall des Wired-Redakteurs Mat Honan sorgte vergangene Woche für Aufregung. Der Journalist wurde Opfer einer Hackergruppe, die auf relativ einfachen Wegen nahezu sein gesamtes digitales Leben auslöschen konnten und rassistische Äußerungen über seinen Twitter-Account verbreiteten. Dabei schockierte vor allem, dass Apples Telefonsupport den Angreifern Zugriff auf Honans iCloud-Account gewährte, über den sie sowohl Macbook, iPad als auch iPhone zurücksetzen konnten.

Verhaltene Reaktion von Apple
Mittlerweile hat Apple reagiert und den Account-Zugriff über den Telefonsupport vorübergehend ausgesetzt. Wired überprüfte anonym diese Maßnahmen und erhielt tatsächlich von einem Apple-Mitarbeiter die Auskunft, dass "die Systeme derzeit gewartet werden" und daher das Zurücksetzen nur über das Webinterface möglich sei. Die Hacker konnten mit relativ wenigen Auskünften Zugriff auf den iCloud-Dienst erhalten, da lediglich die E-Mail-Adrese, die letzten vier Zahlen der Kreditkarte sowie die Rechnungsadresse zum Ändern des Passworts nötig waren. Diese Daten hatten die Angreifer aus dem zuvor gekaperten Amazon-Account erfahren.

Empfehlung Two-Step-Verification
Auch Amazon hatte ein massive Lücke, die über den Telefonsupport genutzt werden konnte. So benötigte man lediglich Rechnungsadresse, Name sowie E-Mail-Adresse um die E-Mail-Adresse des Accounts zu ändern oder eine weitere Kreditkarte hinzuzufügen. Laut Ars Technica habe Amazon diese Lücke aber mittlerweile wieder geschlossen. Einzig Apple hat bis auf den vorübergehenden Auskunftsstopp noch keine Änderungen vorgenommen. Doch Honan kritisiert sich auch selbst massiv in seinem Artikel, in dem er die Hacks ausführlich beschreibt. Darin empfiehlt er jedem Nutzer von Google und Facebook die Two-Step-Verification zu nutzen, durch die für ein Login zuvor ein Token generiert werden muss, das per SMS oder App zugesandt wird. Dadurch wird es Angreifern deutlich erschwert, Passwörter zu missbrauchen.

Mehr zum Thema

(futurezone) Erstellt am 08.08.2012, 10:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?