Apple mit schwerer Sicherheitslücke: Passwort der Apple ID ließ sich mit Email und Geburtsdatum zurücksetzen

Gerade ein mal seit wenigen Tagen, bietet Apple endlich in ausgewählten Ländern die sicherere 2-Faktor-Authentifizierung an, schon wird eine schwere Sicherheitslücke bei der Apple ID entdeckt.

Apple ID Sicherheitslücke

Wenn man ein fremdes Passwort auf der passenden Apple Webseite zurücksetzen wollte, genügten lediglich die Daten zu Passwort und Email-Adresse. Über eine modifizierte URL konnten dann alle weiteren Sicherheitsabfragen übersprungen werden und man hatte binnen weniger Minuten Zugriff auf iTunes oder den App Store.

Es gibt bereits fertige Anleitungen, die ich hier nicht weiter verlinke. Die Schritte sind aber für jeden technisch versierten Nutzer in wenigen Minuten durchführbar. Inzwischen hat Apple die Passwort zurücksetzen Funktion deaktiviert, damit die Lücke nicht weiter ausgenutzt wird. Ein entsprechender Fix dürfte wohl sehr bald erscheinen.

Apple ID Passwort zurücksetzen Wartung

Nutzer der 2-Faktor-Authentifizierung waren von der Lücke nicht betroffen. Ein offizielles Statement von Apple steht bislang noch aus.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Die Reaktion steht hier auch!

  2. da zeigt sich dass das konzept der sicherheitsfragen extrem dumm ist. auch wenn apple hier zusätzlich noch vorhersagbare urls benutzt hat. trotzdem ist das konzept der sicherheitsabfragen so scheinlich und vorallem unsicher, dass nun hoffentlich das umdenken einsetzt und jeder anbieter auf diese dummen sicherheitsabfragen verzichtet.

  3. coriandreas says:

    Genau. Ich hasse auch diese Sicherheitsfragen, die zur Rückstellung des Passworts verlangt werden wie bspw. „der Geburtsname meiner Mutter“ oder ähnlich leicht erratbare Daten. Diese Art der Passworterleichterung sind im Grunde Unsicherheitsfragen, Einfallstore für v.a. (auch weitläufig) Bekannte und Verwandte, die mal schnell den Account übernehmen können. Man muss eben nur Bescheid wissen und schon ist man drin. Wann hört diese Diktatur bei der Accounterstellung mal auf?
    Ein Passwort bleibt ein Passwort bleibt ein Passwort – und wer es vergißt – selbst schuld. Wer nicht mit Passwörtern umgehen kann, sollte sich besser vom Internet und der Computerei komplett verabschieden. Er ist auch ein Sicherheitsrisiko für andere, weil er fremde Daten wie Kontaktdaten und Bilder fremder Personen auf seinen Geräten gespeichert hat. Leider gibt es heute keine Computerführungserlaubnisprüfung. Das würde zu einer merklichen Entspannung auf den Datenautobahnen führen.

  4. coriandreas says:

    Bei Apple frag ich mich mal wieder: Sicheres System? Oder nur heiße Luft geblubbert? Wenn Apple nochmal richtig punkten will, dann mit einem gänzlich neu geschriebenen System, bspw. iOS2. Und dann Attacke auf Blackberry und die anderen teils ebenfalls veralteten Deriverate wie Android (seit 2008) oder Windows Phone basiert auf Windows NT 6.x (seit 2007).
    Nur weiterwursteln, bis auch der Letzte merkt, daß Andere besser sind: Hoffentlich nicht, aber ich befürchte es!

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.