Apple äußert sich zum vermeintlichen iCloud Hack
Wir alle haben es mitbekommen: Nacktbilder diverser Prominenter (unter anderem Jennifer Lawrence, Emily Browning und Victoria Justice) gingen durch das Netz. Erst machte die Nachricht die Runde, dass ein iCloud Hack Schuld daran sein sollte. Apple versprach Ermittlungen in dieser Sache und äußerte sich nun. Ein genereller Hack der iCloud oder des Dienstes Find my iPhone war nicht das Problem, stattdessen haben die Angreifer zielgerichtet Konten von Prominenten angegriffen.
Hierbei probierten die Angreifer anscheinend automatisiert Nutzernamen, Passwörter und Sicherheitsfragen aus. Was aus dem Statement nicht hervorgeht: wurde mittels Brute Force und automatisierten Angriffen gearbeitet? Und wenn dies der Fall gewesen ist: warum gibt es keinen Schutz gegen diese Art der Angriffe? Fest steht, die Negativpresse wird Apple sicherlich im Nacken sitzen, egal wie der Angriff ablief.
Theoretisch müsste man in heutigen Zeiten fast zwingend fordern, dass die Zwei-Faktor-Authentifizierung zur Pflicht wird. Mittlerweile bieten viele Anbieter diesen zusätzlichen Schutz an. Und auch wir dürfen uns hinterfragen, wie viel denn in die Cloud gehört. Fast alle Systeme bieten mittlerweile das automatische Backup von Fotos und anderen Daten an. Ein interessantes Ziel für Angreifer, da die Cloud rund um die Uhr erreichbar ist. Wie ihr die wichtigsten Dienste mit der Zwei-Faktor-Authentifizierung absichert, beschreibt dieser Beitrag – und ja, Apple bietet dies mittlerweile teilweise auch an, leider ohne Geräte-Auth.
Der erste Link funktioniert nicht so ganz. 😉
Ansonsten – es fehlt einfach ein Verständnis für die groben, technischen Zusammenhänge in der westlichen Hemisphäre. Aber das wird sich mit der zunehmenden Zahl der Leaks und Hacks sicherlich von selbst regeln, da bin ich zuversichtlich. 😉
Ist es wirklich nötig die Namen der Opfer zu nennen?
@Cashy, warum schreibst du „teilweise“ zu der Zwei-Faktor-Authentifizierung mit Bezug zu Apple?
Stimmt so nicht, meines Wissens.
Denke auch mal das es „recht einfach“ Infos für die Sicherheitsfragen über google und facebook zufinden. Besonders bei Leuten die so viele Informationen über sich in Interviews preisgeben.
Gab es sowas nicht schon mal, also das jemand die Sicherheitsabfragen ausgenutzt haben um an Promidaten zukommen?
Naja , simpel : verdopple nach jedem Fehlversuch die Wartezeit, und Schluss ist….. Das ist soooo einfach, da will ich gar nicht wissen was für Probleme Apple bei komplexen Dingen hat!!!!!
Die meisten Menschen sind halt überheblich und gutgläubig und geben ihre Daten in Systeme, von denen sie keine Ahnung haben, da kommt sowas dann halt (leider) bei raus.
Grad bei diesen Promis frag ich mich allerdings schon, wie bescheuert man sein kann? Wenn einem sowieso die Papparazzi dauernd die Linse ins Gesicht halten, warum dann noch freiwillig Material aus der Hand geben, was man nicht öffentlich sehen möchte? Vielleicht sollten die Leute mal ihre Geldbörse umdrehen und schauen, ob nach den ganzen Gehältern für Bodyguards, PR-Berater, Privat-Frisöre, Chauffeure, etc vielleicht noch ein bisschen Geld für einen IT-Mensch mit Kompetenz übrig ist?
Sorry, aber Mitleid hab ich da nicht, erst recht nicht mit SJWs wie Patricia Arquette, twittert die doch echt, dass alle, die sich die Bilder anschauen, im Prinzip eine Massenvergewaltigung machen – na danke, der würd ich wünschen, dass ihr mal ein Opfer von echter, physischer Vergewaltigung vor die Füße läuft.
Natürlich versucht sich die Apple-PR nun um Schadensbegrenzung. Aber anscheinend ließen sich die iCloud-Accounts ja über ein simples Brute-Force-Script hacken. Es ist einfach dilettantisch, dass Apple anscheinend keinen Schutzmechnanismus hat, um bei mehreren Fehl-Logins den Account zu sperren.
Wenn man automatisiert unendlich viele Passwörter aufprobieren kann, ist das wohl eine Sicherheitslücke. Auch wenn die iCloud an sich nicht unsicher ist, kann man hier wohl von Schönfärberei seitens Apple sprechen.
Man kann nur hoffen dass nicht weitere solcher Fehler im System existieren, bzw als Promi sollte man das hoffen.
Aus „Recherchezwecken“ habe ich mir die Fotos und Videos angeguckt.. schon teilweise verdammt peinlich, was da nun öffentlich ist, besonders für Kaley Cuoco.
Eine 2 Faktor Authentifizierung wäre aber zumindest bei find-My-iPhone absurd. Wenn ich mein iPhone verloren habe oder es geklaut wird, kann ich schließlich nicht über mein iPhone bestätigen das ich da am pc sitze.
Die Alternative, ein anderes Passwort zu wählen ist für einen so selten, aber dennoch sofort verfügbar sein müssenden Dienst auch ohne Sinn.
Wenn also diese eine Tür offen steht, ist diese 2 Wege Möglichkeit an anderer Stelle nicht die goldene Lösung zu der sie zur zeit gemacht wird.
Ein sicheres Passwort und überall Brutforce Schutz schön und gut, ich glaube aber nicht dass das diese leakserie verhindert hätte.
Letztlich ist es einfach Pech das vorkommt wenn man etwas nicht 100% sichern kann. Muss man akzeptieren.
@plantoschka die namen sind in allen blogs genannt und bekannt. Wer googlet findet es eh raus. Und die Bilder bleiben auf bekannten XXX Bilder Seiten eh im Netz…
Man kann ganz schön naiv sein.
Ich würde niemals auf die Idee kommen Nacktbilder mit irgend einem Server auf dieser Welt zu synchronisierern ganz besonders dann nicht wenn ich Promi bin.
@Ich:
Deswegen hast du ja noch dein Kennwort und den Wiederherstellungsschlüssel! 😉
Bei der 2 Faktor Authentifizierung hast du:
– Kennwort
– Wiederherstellungsschlüssel
– Gerät
2 von diesen Dingen brauchst du, um dich zu identifizieren!
@Ich:
Bei Google glbt es beispielsweise Backup-Codes (10 Stück), die man sich generieren lassen kann und dann bspw. ausdrucken kann.
Ist das Smartphone nicht zur Hand oder geklaut oder verloren, nutzt man neben dem Passwort einen der 10 Backup-Codes. Damit ist das ganze einigermaßen Idiotensicher – und auch generell einigermaßen sicher, da man immer 2 Ideentifikationsfaktoren braucht (Passwort+Gerät oder Passwort+Backup-Code)
@Mirco:
Glaube ich kaum dass Apple das wie Google mit Wiederherstellungscodes machen wird… bei Papier stimmt die Ästhetik einfach nicht mehr.
Ein simples Begrenzen der Versuche wie bei der guten alten EC-Karte würde schon Wunder bewirken.
Alternativ wie beim Lockscreen vom iPhone, Sperre für 1min nach 5 Versuchen und dann bei wiederholten falschen Versuchen die Wartezeit erhöhen.
Vor 0815-Bruteforce schützt auch der zusätzliche Faktor nicht. Wenn ich ohnehin schon ohne jegliches Vorwissen Angriffe fahre, kann ich auch noch ’ne zweites Feld ausfüllen.
Hier ist eher Apple in der Pflicht, (erfolgreiche) Bruteforce-Angriffe auf Loginmasken gehören eigentlich schon längst der Vergangenheit an.
—
@caschy
So langsam kann ich die Lobeshymnen auf Mehrfaktor-Authentifizierungsmethoden, die neuerdings überall gesungen werden, nicht mehr hören. Ja, es gibt Angriffsszenarien die durch den zusätzlichen Faktor unrentabel werden. Vor den gängigen ungezielten Angriffen schützt der zusätzliche Faktor allerdings kaum.
((Bei Datenbankdiebstählen geht’s um Zahlungsdaten, eMail-Adressen und Kontaktdaten. Passwörter sind ein recht nutzloses Nebenprodukt, ordentliches Salzen macht ungezielte Wörterbuchangriffe unrentabel. Wenn derjenige dem man die Datenbank geklaut hat nicht richtig salzen kann oder mit Algorithmen aus der Steinzeit hasht, dürften die anderen Faktoren auch nicht sonderlich sicherer aufgebaut sein.))
Klar, mehr Faktoren schaden üblicherweise nicht, aber das Allheilmittel, für das sie vielfach gehalten werden, sind sie auch nicht.
Was ist denn „Negativpresse“?
Ich kenne nur die „Presse“ und ich kenne Fans irgendwelcher Marken, die sich treudoof vor den Marketingkarren großer Konzerne spannen lassen, ohne es zu merken. Apple hat im Thema „Sicherheit“ enormen Nachholbedarf, man darf das Kind ruhig beim Namen nennen.
Bin ich jetzt auch „Negativpresse“?
@shx: Dann beschreibe hier, ob der Hack möglich gewesen wäre, hätte Apple eine Gerät- und iCloud-schützende 2FA. Danke.
Und ehrlich? Mir isses lachs, ob jmd. nicht mehr hören kann, dass man Sicherheit nach oben schrauben soll. Deswegen werde ich das hier weiter propagieren.
Das frage ich mich auch. Aber da liefern auch andere Hersteller leider keine Glanzleistung ab. Bei Google kann man z.B. auch munter so viele falsche Passwörter eingeben wie man will. Sinnvoll wäre nach einer gewissen Anzahl an Fehlversuchen (gerne auch manuell definierbar) eine gewisse Wartezeit zwischen den weiteren Versuchen.
@caschy
Stimmt es, dass Apples 2FA nur folgende drei Bereiche schützt?
– Manage your AppleID
– Einkäufe
– Supportanfragen
Und demzufolge auf icloud.com auch ohne 2FA zugegriffen werden kann?
Kann das aus Mangel an Geräten noch nachprüfen.
@Hans: ja, deswegen schränkte ich das im Beitrag mit Verweis auch ein. Und das ist echt schwach.