iCloud: E-Mails bei suspektem Web-Zugriff

Apple kam in den letzten Tagen unschön in die Medien. Konten von Prominenten wurden gehackt, Nacktbilder sickerten ins Netz. Apple musste sich erklären und teilte mit, dass es sich zwar um keinen iCloud-Hack handelte, man versprach aber, dass man die Sicherheit verbessern wolle. Das Ganze ist natürlich dennoch etwas unschön, da Apple anscheinend keinen Schutz gegen Brute Force-Attacken anbietet und zudem die iCloud nicht durch Zwei-Faktor-Authentifizierung geschützt ist.

maik

Man hat aber nun nachgearbeitet und verschickt Informations-E-Mails, wenn man sich in den iCloud-Account einloggt. Hierbei handelt es sich allerdings nur um reine Informationen, die echten Mehrwert vermissen lassen. So sieht man nicht, von wo aus zugegriffen wurde, eine IP oder eine Location sucht man vergebens. Anscheinend kommt die Informationsmail nur, wenn jemand von woanders zugreift. Bei einem Zugriff von zuhause aus bekam ich keine Mail, während bei einem Zugriff auf San Francisco die hier eingebundene Mail kam.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

22 Kommentare

  1. Apple: WHAT YEAR IS IT?

    Hier werden wieder Sicherheitsmaßnahmen von <2000 als neu verkauft… smh

  2. Es sind zusätzliche Sicherheitsmaßnahmen, nicht die Einzigen! xD

    Und ja, es kann durchaus hilfreich sein!

  3. Definiendum says:

    Also NACHDEM auf die Daten zugegriffen wurde bekommt man bescheid – das nenn ich doch mal nützlich…

  4. > da Apple anscheinend keinen Schutz gegen Brute Force-Attacken anbietet

    Caschy, echt jetzt? Es ist nicht das erste mal dass du das schreibst. Mach dich doch bitte mal kundig. Die Server sind gegen Brute Force abgesichert. Was bis vor ein paar Tagen „offen“ war is die Find My iCloud API. Die ist jetzt ebenfalls geschlossen. Nach 5 Login-Versuchen ist deine Apple ID gesperrt. Ähnlich war’s auch schon vorher bei den anderen Diensten.

  5. Die ID wird komplett gesperrt? Dann kann ich ja jetzt einfach die Accounts beliebiger mir bekannter Personen killen, nice \o/

  6. @Definiendum
    Lies besser nochmal nach worum’s sich hier überhaupt handelt. Es scheint als ob du nichts verstanden hast.

  7. Too little, too late.

  8. @Kalle genau das geht zumindest aus dem Screenshot hervor. Das ist nicht ansatzweise so sicher wie z.B. Steams Code-System oder „echte“ Zwei-Faktor-Authentifizierung (alles was via E-Mail läuft fällt für mich nicht darunter, ist im Fall der Fälle sowieso gleich mit kompromittiert).

  9. @Iruwen
    Die wird gesperrt, nicht gekillt. Derjenige muss den Zugriff dann erst wieder herstellen.
    http://support.apple.com/kb/TS2446?viewlocale=de_DE

  10. @Kalle

    Was der Caschy geschrieben hat stimmt vollkommen. Ob das jetzt Find My iPhone ist, ist doch vollkommen Schnuppe. Da saß der Apple-Server mit der Hand in der Hose, während du auch noch nach dem 10000 falschen Passwort nicht geblockt wurdest. Dass sich ein Milliarden-Unternehmen noch so einen Fehler im Jahr 2013 erlaubt, ist mehr als traurig; ich saß mit Lochkarten vor dem Großrechner in der Uni und da hatte man schon ein Maximum von 3 Login-Versuchen…

  11. @Iruwen
    Die Email ist einfach ne zusätzliche Massnahme seit gestern oder so. 2FA wird hier erklärt: http://support.apple.com/kb/HT5570?viewlocale=de_DE

    @theCed7
    Nö, stimmt nicht. Warum habe ich oben geschrieben und verlinkt. Ausserdem ist schon 2014, nicht mehr 2013.

  12. @ Kalle

    Mit deiner Erbsenzählerei kommst du keinen Schritt weiter.

    Apple hat eine Sicherheitlücke offen gelassen und basta. Man kann nichts fixen, was nie kaputt war.

  13. Also

  14. @Kalle inwiefern Definiendum mit „nachdem auf die Daten zugegriffen wurde bekommt man Bescheid“ unrecht hatte hast du immer noch nicht begründet.

  15. Also greift die 2FA von Apple nur bei Einkäufen und 2 weiteren Sachen. Nicht aber z.B. wenn jemand mein Backup wiederherstellen will.

    Das ist doch dann in dieser von Apple so umgesetzten Form relativ sinnlos und nur ein Placebo für die Apple Kundschaft.

    Und diese Mails sind eher Inspiration und Vorlage für die bösen Jungs als ein sinnvoller Schutz für die bemitleidenswerten Apple Kunden

  16. Nicht Sicherheitslücke, sondern „Sicherheitslücke“. Davor ist immer noch das Passwort. Für das Passwort gibt’s Richtlinien, die bedeuten, dass es ein paar huntertausend Jahre dauern würde um ein Passwort über’s Netzwerk zu knacken.

    Und letzten Endes wurden die Celeb-Accounts sowieso über die Sicherheitsfragen geknackt. Die sind die eigentlich Sicherheitslücke welche durch Aktivierung von Zwei-Faktor Auth behoben wird.

    Als Google etc letztes Jahr die THC Hydra Lücke geschlossen hat gab’s nicht so ein Drama. Warum wohl?

  17. @Robert Elm

    Denk mal nach, um an das Backup zu kommen brauchst du immer noch das Passwort.

  18. Die Kennwortrichtlinie ist lächerlich. Ohne Rate Limit dauert das mit einem guten Tool und aktuellem Wörterbuch das die Kennwörter der letzten großen Hacks beinhaltet wenn man es iterativ durcharbeitet vielleicht einige Tage oder Wochen, je nach Geschwindigkeit der API, aber sicher keine hunderttausend Jahre. Und die Angriffe liefen nicht nur über Sicherheitsfragen sondern auch über Dictionary Attacks. Menschen verwenden keine vollständig zufälligen Kennwörter, ein Großteil der Kennwörter die nicht von einem Computer generiert wurden ist mittlerweile bekannt.

  19. @Kalle

    Also komm, dass ist doch jetzt lächerlich. Wenn ich meine Daten einem Unternehmen anvertraue, soll das auch auf sie aufpassen und zwar so gut wie möglich. Oder warum haben sie es jetzt plötzlich gefixt?Das ist so, als würden Autohersteller vollkommen auf den Insassenschutz verzichten, weil man hätte ja auch langsam fahren oder einfach direkt zu Fuß gehen können.

    Was eine Logik. 100 Punkte. Bitte geb‘ bescheid, wenn dein IQ mal die Zimmertemperatur überschreitet und du zur Erkenntnis gekommen bist, dass Apple hier einfach Mist gebaut hat. SMH

  20. @Kalle:

    naja den Promis hats auch nicht weitergeholfen.

  21. Das ist mehr als eine Sicherheitslücke. Das ist schon BROKEN BY DESIGN.

    Die Apple-Opfer haben wohl gute Aussichten auf eine Sammelklage auf Schadenersatz.

  22. @kalle

    Also soweit ich weiß, war das Passwort doch den Hackern bekannt. Oder nicht? Und somit auch der Zugriff zum icloud Konto. Und icloud nur mit dem Passwort zu schützen, aber vom Kunden die 2FA zu verlangen ist doch der blanke Hohn von Apple gegenüber den Opfern.

    Und gerade die 2FA soll doch neben dem Passwort einen zusätzlichen Schutz garantieren. Soll heißen, selbst wenn ich als Apple Kunde die 2FA aktiviere, ist mein icloud Konto davon aber nicht geschützt. Oder doch? Erkläre es mir.

    Aber spätestens heute Abend ist ja wieder alles nur noch amazing….