Bruteforce-Skript könnte iCloud-Accounts von Stars geknackt haben
Wir berichteten heute bereits über einen möglichen iCloud-Hack, der private Fotos von Prominenten in das Netz brachte. Unklar war, wie die Diebe an die Bilder kamen. iCloud soll Schuld daran sein, so viel war bekannt. Vor 2 Tagen tauchte bei GitHub ein Skript namens ibrute auf, das über eine Bruteforce-Attacke versucht, Zugang zu iCloud zu erlangen. Nötig ist hierfür lediglich die E-Mail-Adresse des Nutzers. Fatal an dieser Geschichte ist, dass Apple anscheinend keinen Schutzmechnanismus hatte, um bei mehreren Fehl-Logins den Account zu sperren.
Sollten die Diebe tatsächlich über eine Bruteforce-Attacke in die Accounts der Stars eingedrungen sein, wirft dies wieder einmal kein gutes Licht auf Apple. Mittlerweile ist die Lücke von Apple geschlossen worden. Nutzt man das Skript nun, wird nach 5 Login-Versuchen die Apple-ID gesperrt. Das Auftauchen des Skripts, die Veröffentlichung der Bilder und das Schließen der Lücke passen schon sehr gut zueinander.
Eine offizielle Stellungnahme seitens Apple steht aus, wird aber wohl auch noch länger ausstehend bleiben. Bei solchen Dingen zeigt sich die Firma aus Cupertino immer recht schweigsam, egal wie gravierend eine Lücke eventuell ist. Vorerst sollten die Accounts als erst einmal wieder sicher sein. Zumindest bis die nächste Lücke entdeckt und von Apple verschwiegen wird.
Wird geladen ...
Dann kommt Apple mit: Wir bieten ja 2-Factor-Auth an – eure Schuld…
Und wie kommen die Hacker an die Apple IDs der Stars?
Es wurde doch mittlerweile von den Betroffenen Stars bestätigt, dass auch Android-Benutzer von dem Leal betroffen sind. Kann auch ein Dropbox-Hack oder sonstiger Cloud-Hack sein.
Wie genau wird denn da gesperrt?
Besonders klug wäre es ja nicht, einfach den Login von allen IPs zu sperren, das wäre doch genauso Denial of Service.
Schien wohl über „Find my iPhone“ möglich.
Apple hat das heute gefixt und läuft schon in vielen Ländern.
http://www.mactechnews.de/news/article/Publik-gewordene-Nacktfotos-Apple-schliesst-iCloud-Luecke-159241.html
@Sascha, ist es heute dein Hobby den Trolls was zum Futtern hinzuwerfen?
Erstens übernimmst du unreflektiert das es ein iCloud Hack ist (von Mashable in Umlauf gebracht).
Zweitens ist dein letzter Absatz auch ziemlich fragwürdig. Bis jetzt gab es von Apple immer ein Statement zu angedichteten oder tatsächlichen Sicherheitsmängeln. Du bleibst nur nicht genug dran an der Story. Hier mal zwei Beispiele aus der jüngeren Vergangenheit:
http://www.reuters.com/article/2014/02/22/us-apple-encryption-idUSBREA1L10220140222
http://www.zdnet.com/icloud-not-compromised-in-apple-id-attack-apple-7000029914/
Also ganz grober Unfug was du schreibst.
Leaker angeblich identifiziert: http://i.imgur.com/wgD17Ib.jpg
Auch ganz witzig: https://twitter.com/thatgrltrish/status/506263453745815552
„Hey Ahole claiming to have iCloud leaked nudes of me a) I use #Android“
-Trisha Hershberger
Und die Apple-IDs zu kommen, scheint mir nicht schwer zu sein. Das wird oft genug name@me.com sein.
Danke Apple für die schönen (und expliziten) Fotos!
Und einen weiteren Grund sich kein i(git)Phone zu holen!
Ohnehin hängt Ihr ganz schön hinterher – jedes gute Adroid-Phone bietet mehr! Uns seit dem Tod von Steve Jobs ist Euer Zauber verschwunden….
Bye Bye Apple-Hype!
@plantoschka
der jetzige „Fehler“ ist aber Kindergarten Niveau, der darf nicht vorkommen. Apple hat ja in Sicherheitskreisen nicht gerade den besten Ruf was den Umgang mit Bugs angeht, da können die noch ganz viel von M$ lernen.
Naja ich schliesse es nicht aus dass über die gleichen pw kombis auch andere clouds versucht wurden…
Ich schließe mich Kalle an, aber irgendwie scheint das ja öfter vorzukommen. Naja schlecht durchdacht und recherchiert halt.
Ansonsten ist es – auch wenn es kein „Hack“ war – schon ein extremer Fail von Seiten Apples. So eine Funktion zu implementieren gehört zu den absoluten Grundlagen wenn es um Authentifizierungssysteme geht.
Ich schätze, das kann wohl passieren, aber es wundert mich schon, weil da eigentlich sehr, sehr fähige Leute arbeiten.
@Kalle
Und als da dann Android stand hast du dicht so darüber gefreut, dass dein heiliges crApple nicht betroffen ist, dass du nicht zu Ende gelesen hast!?
Sie schreibt doch weiter, dass die Bilder von ihr fake wären.
Also wurde von ihrem Android auch nie was geklaut…
Wie die Trolle sich gleich wieder alle darauf stürzen 😀
Ich warte erstmal auf die Fakten, bevor ich mich dazu nähergehend äußere!
Kalle, Du bist selbst der Troll. Deine Recherchen konnten nämlich auch nichts zur Aufklärung beitragen und Sascha hat doch mehrmals betont, dass es sich zum jetzigen Zeitpunkt um Spekulationen handelt. Darf er jetzt etwa gar nicht darüber berichten bis Apple ein Statement dazu abgegeben hat? Geh doch einfach in einen anderen Blog, wenn es dir nicht passt!
BTW: Schon mal drüber nachgedacht, dass nicht nur die Geräte der Promis sondern auch der der Freunde gehackt worden sein könnten? Also wenn einer meint, es könne ja gar nicht sein, weil er Android benutze, dann hat das für mich erstmal nichts zu heißen.
Und die Dropbox files könnten genauso gut von den Seedern sein. Die Dateien wurden nämlich mittlerweile so wild durchs Netz verteilt, dass bei den meisten Archiven schon keine Struktur mehr drin ist.
Apple direkt in Schutz nehmen zu wollen halt ich jedenfalls für törichter als die Möglichkeit eines Cloud-Hacks erstmal in Erwägung zu ziehen.
Wer nimmt den Apple in Schutz? Es geht darum dass nicht mal der /b/tard, der die Leaks geposted hat, von iCloud gesprochen hat. Bemerkenswert dass selbst der Stern besser und informativer über das Thema berichtet. Sascha’s letzter Absatz ist und bleibt Blödsinn. Zu den aktuellen Geschehnissen gibt’s auch schon ein Statement von Apple. Ich will nicht zuviel Links reinhauen damit der Spam-Filter nicht anspringt, sollte aber einfach zu finden sein.
Eigene Meinung in einem Blog schön und gut. Vorschnelle Unterstellungen und falsche Behauptungen (letzter Absatz), naja…
Hab jetzt soweit mal alle Kommentare durchgelesen und noch keinen Satz von der anderen Theorie gehört die ich mitbekommen habe.
Es gibt da anscheinend einen „Ring“ der schon seit Jahren untereinander Nackbilder von Promis tauscht bzw private Fotos die aus gezielten Social Engineering Attacken hervorgegangen sind. Um in diesen „Ring“ zu kommen muss man sich wiederrum selber mit Bildern die noch kein anderer hat „einkaufen“. Soviel als Backgroundinfo.
Jetzt muss es anscheinend jmd gegeben haben der sich da „reingekauft“ hat bzw ein Mitglied Bilder verkauft hat und diese wurden dann geleakt.
Ist bis jetzt auch die logischste Erklärung. Das durch die Sicherheitslücke beim Login der iCoud auch Bilder hervorgebracht wurden ist sehr wahrscheinlich aber nicht der einzigste Weg bzw die Quelle.