Via Social Engineering in die iCloud

Hacker verschafften sich Zugang zu der iCloud des ehemaligen Gizmodo-Redakteurs Mat Honan. Anfangs wurde über ein Brute-Force-Angriff (ausprobieren von Passwörtern) spekuliert, nach und nach stellte sich aber heraus, dass die Hackergruppe Clan Vv3 die Sicherheitsmechanismen und -Fragen durch Social Engineering umgangen hat. Der Apple Tech-Support gewährte den Hackern kompletten Zugang zur iCloud von Mat Honan. Von dieser aus starteten sie die Fernlöschung (Remote-Wipe) von seinem iPhone, iPad und MacBook.

Die Backup-E-Mailadresse von Mat Honans GMail-Account war seine iCloud @mac.com-Mailadresse. Dadurch konnten die Hacker auch seine GMail Adresse zurücksetzen und löschten diese mit sämtlichen dazugehörigen Zugängen zu anderen Google-Diensten. Zuvor kaperten sie noch seinen Twitter-Account, der auf die GMail-Adresse angemeldet war, welchen er vor Jahren mit dem Gizmodo Twitter-Account verbunden hatte, wodurch die Hacker auch vollen Zugriff auf den Twitter-Account von Gizmodo hatten, der knapp 500’000 Follower hat.

Die Geschichte zeigt eindrücklich, dass man selbst bei gut gewählten Passwörtern immer dem Dienstbetreiber vertrauen muss, da dieser sämtliche Sicherheitsmechanismen außer Kraft setzen kann. Zudem zeigt der Fall, was man mit einem Benutzernamen mitsamt Passwort alles anrichten kann, wenn das Environment zentral angelegt ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Schade, dass hier wieder Hacker und Cracker verwechselt werden.

    Nochmal zum mitschreiben: Hacker würden nicht, wie hier beschrieben, mutwillig Daten zerstören und eine Person digital vernichten.

      1. Politiker bekommen den Unterschied auch nicht gebacken, da wäre er falsch. Aber wäre sicherlich was für dich, so ein Politikerjob, einfach Verantwortung an andere abschieben: „Mach doch mal das und das“ – klingt fast wie „Wer arbeiten will…“

  2. Das ist ja nur aufgefallen, weil die alles gelöscht haben. Stellt euch mal vor, was gewesen wäre, wenn die keinen sichtbaren Schaden angerichtet hätten, sondern nur Betriebsgeheimnisse hätten ausspionieren wollen. Wäre das überhaupt aufgefallen? Oder passiert sowas vielleicht sogar regelmäßig? …

  3. Was mich jetzt mehr interessiert ist, ob zumindest wieder alles hergestellt werden konnte, oder ob das jetzt wirklich alles verloren ist.

  4. Es zeigt allerdings auch wie unfähig die Apple-Mitarbeiter sind bzw. wie schlecht geschult. Nicht, dass man derartiges nicht bereits beim Firmennamen vermuten sollte. :D

    1. Ganz genau. Dieser Einzelfall zeigt glasklar, wie systematisch unfähig oder schlecht geschult alle Apple-Mitarbeiter sind!!!1

  5. Was heißt denn alles „zentral angelegt“?

    Klar scheinen mir „Facebook Login“ Widgets ein Fall davon zu sein; analog gibt es das ja auch mit der Google ID.

    Wie schätzt ihr dann Technologien wie OpenID ein? Gern auch selbst gehostet. Ist das nicht auch ein Fall von ‚convenience over security‘? Nur ein Passwort, nur ein Login nutzen müssen, das klingt erst einmal gut, aber zeitigt dieselben Progbleme wie ein zentraler Mail Account, mit dem man alle Accounts im Web managen kann.

    Habt ihr eine Idee, was man hätte besser machen können, um dezentral zu arbeiten? Mehrere Mail Adressen anlegen?

  6. Google’s Open ID ist letztendlich ein Gewinn an Sicherheit. Wenn man in seinem Google-Account die Zweifaktorauthentifizierung aktiviert und dann diesen Account zum Login auf anderen Seiten einsetzt, ist das auf jeden Fall sicherer als alle anderen Möglichkeiten (sofern die Seite nicht selber ein vergleichbares System anbietet, etwa mit dem Google Authenticator oder DuoSecurity).

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.