Über das Wochenende wurde bekannt, dass der iCloud-Account des Journalisten Mat Honan gehackt wurde. Dabei erriet der Hacker nicht etwa das Passwort oder machte sich die Brute-Force-Methode zu Nutze. Das Sicherheitsloch lag vielmehr beim Apple Kundendienst. Ein Anruf beim Apple Support sowie das Beantworten einfacher Fragen ermöglichten es dem Hacker das Passwort des iCloud-Accounts zurück zu setzen und diesen zu kompromittieren.
Die Rechnungsanschrift sowie die letzten vier Ziffern der Kreditkarte eines Nutzers ermöglichen es, den Account zu übernehmen. Wired hat sich an Apple gewandet und folgende Äußerung erhalten:
“Apple takes customer privacy seriously and requires multiple forms of verification before resetting an Apple ID password. In this particular case, the customer’s data was compromised by a person who had acquired personal information about the customer. In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.”
Mit anderen Worten: Apple nimmt die Sicherheit seiner Nutzer sehr ernst und nutzt mehrere Schutzmechanismen, bevor ein Passwort zurück gesetzt wird. In diesem Einzelfall konnte der Account zurück gesetzt werden, indem persönliche Daten des Nutzers bekannt waren. Zudem hat Apple heraus gefunden, dass der Apple Support Mitarbeiter die internen Sicherheitsrichtlinien nicht vollständig beachtet hat.
Interessanterweise war es Wired am gestrigen Montag abermals möglich, einen fremden Account über den Apple Support zu kompromittieren. Die Rechnungsanschrift eines Anwenders lässt sich schnell herausfinden, bei der Kreditkartennummer musste Wired den Umweg über Amazon nehmen. Da bei Amazon die letzten vier Ziffern der Kreditkarte nicht “verschlüsselt” werden, war dies grundsätzlich möglich. Zwei Anrufe beim Amazon Support führten zum Ziel. Mit dem ersten Anruf wird eine zweite Kreditkartennummer einem Amazon-Account hinzugefügt (Rechnungsadresse, Name und eMail reichen). Mit dem zweiten Anruf wird eine zweite eMail Adresse im Amazon Account hinterlegt, indem als Sicherheit die soeben hinzugefügte Kreditkartennummer hinterlegt wird.
Macerkopf.de – Apple News aus Cupertino – Mac, iPhone, iPod, iPad und mehr
We are researching regarding my bachelor’s amount inside laptop scientific discipline, plus i can go on to getting a experts amount. We’ve my A+ not to mention Network+ qualifications, and i am thinking about obtaining Unix like, Group Security and safety, additionally, the qualifications.. . Am i allowed to have a profession engaging in laptop ‘forensics’ within this? If they are not, what precisely must i do to raise my odds of finding a laptop ‘forensics’ profession?. . Thanks. Only a bit of advise: I really do more programming when compared with everything through computing devices, nonetheless We are pretty decent considering the non-programming facet also..