iCloud Account gehackt mit Social Engineering

[agaiz]

Einige haben vielleicht letzte Woche von der Geschichte gehört, wo ein ehemaliger Gizmodo Redakteur Opfer eines Hacker-Angriffs wurde.

Jetzt hat sich wohl herausgestellt, dass der Hacker nicht etwa sein (schwaches) Passwort geknackt hat, sondern mithilfe des Apple Supports in der Lage war den Account zu übernehmen (Social Engineering) und daraufhin drei Geräte (iPhone, iPad und MacBook Air) fernzulöschen.

Zudem wurde der Google Account des Opfers gelöscht und der Twitter Account übernommen (über diesen auch kurzzeitig der von Gizmodo).

Die ganze Geschichte hier: Mat Honan: Yes, I was hacked. Hard.

 

[Napsterkiller]

Wie kann man es schaffen durch einfaches belabern des Supports das Passwort raus zu finden.naja gut bei mir im betrieb sind die sicherheitsrichtlinien auch nicht die besten wenn es darum geht ein neues passwort zu bekommen falls man sein mal vergessen hat.

 

[Dragosani]

Ich wollte es gerade sagen: unterm Strich hängt alles vom Mitarbeiter der Firma ab, egal wie gut die allgemeine Sicherheitsrichtlinien der Firma ist. Wenn der Mensch am Telefon zu Vertrauensseelig ist, dann war es das.

 

[Napsterkiller]

naja der apple support muss ja an das passwort einfach so dran kommen ohne sicherheitsmechanismen sonst köntne da ja jeder anrufen und sich als "Tim Cook" ausgeben

 

[Hades2k]

Die haben nicht das Passwort rausgefunden die haben den Support davon überzeugt das sie diese Person sind und das Passwort von dritten geändert wurde - der Support hat daraufhin ein neuen, temporäres Passwort erstellt und ihm mitgeteilt.
Es ist zu keiner Zeit möglich ein ordentlich gesaltetes und gehashtes Passwort im Klartext anzuzeigen, selbst wenn man der heilig Sysadmin mit allen Privilegien über die Datenbank ist.

 

[Ber]

Das Problem der Cloud ist ja genereller Natur und momentan eines der größten Risiken überhaupt - eine unfassbare Fehlentwicklung, vor der viele - und leider noch lange nicht genug - auch warnen: Apple co-founder Wozniak sees trouble in the cloud - FRANCE 24

Wobei eigentlich ohnehin jedem klar sein sollte, dass man Clouds nicht nutzen sollte.

 

[Darkwonder]

naja der apple support muss ja an das passwort einfach so dran kommen ohne sicherheitsmechanismen sonst köntne da ja jeder anrufen und sich als "Tim Cook" ausgeben

Nein das Passwort sehen Sie nicht, Sie können lediglich ein neues generieren und dir entweder per Mail zu senden oder per Telefon durch geben.
Ersteres würde hier keinen Sinn machen, da er ja genau das Passwort vergessen hat.

Das kann einem bei jedem Dienst passieren, auf ähnliche Weiße kann man mit dem Nummernschild auch den Halter herausfinden bzw. dessen Wohnanschrift. Ohne mehr zu wissen als das was auf dem Nummernschild steht.
Hier geht es schlicht darum den Service Mitarbeiter davon zu überzeugen, dass man der Halter, Eigentümer oder was auch immer ist und genau jetzt das Passwort schnell braucht oder die Adresse überprüfen möchte. Wird nicht beim ersten Mitarbeiterklappen, aber man kann es ja öfters bei anderen versuchen und genauso werden Sie hier auch vorgegangen sein.

 

[Hades2k]

Wobei eigentlich ohnehin jedem klar sein sollte, dass man Clouds nicht nutzen sollte.

Das Fazit was ich aus der Sache ziehen würde sind drei Dinge:
1. Wichtige Daten gehören gesichert
2. Accounts gehören nicht zu einem großen Netz von vertrauen auf eine zentrale Basis - Facebook Connect oder Google oAuth zusammengefasst
3. Clouds oder alle Webdienste überhaupt sind Features denen man extrem restriktiv Daten anvertrauen sollte, wenn überhaupt

 

[agaiz]

Das Fazit was ich aus der Sache ziehen würde sind drei Dinge:
1. Wichtige Daten gehören gesichert
2. Accounts gehören nicht zu einem großen Netz von vertrauen auf eine zentrale Basis - Facebook Connect oder Google oAuth zusammengefasst
3. Clouds oder alle Webdienste überhaupt sind Features denen man extrem restriktiv Daten anvertrauen sollte, wenn überhaupt

4. Wichtige Daten sichern (Redundanz)

 

[iLLuminatusANG]

bin nich am überlegen was das Pfund Gehackte in der überschrift verloren hat, aber der ausdruck social engineering passt hier wie die faust aufs auge

hoffentlich benutzt ihr alle fleißig whatsapp und geht auf facebook über euer smartphone *hust*

 

[agaiz]

bin nich am überlegen was das Pfund Gehackte in der überschrift verloren hat

Ich weiß, Anglizismen, ich schäme mich auch

 

[Hades2k]

4. Wichtige Daten sichern (Redundanz)

5. Mindestens eine Kopie davon Offsite (um mal bei schönem Denglisch zu bleiben :P)

 

[-INU-]

Die haben nicht das Passwort rausgefunden die haben den Support davon überzeugt das sie diese Person sind und das Passwort von dritten geändert wurde - der Support hat daraufhin ein neuen, temporäres Passwort erstellt und ihm mitgeteilt.

Und wie kommt er mit einem neuen iCloud Passwort dann bitte in den Twitter/Google-account ?

 

[Spi12]

Für den Twitter und Google Account war die iCloud Adresse als Email hinterlegt, also konnte das PW resettet werden und das neue kam an den iCloud Account

MfG

Quelle: Bericht: Apple-Support ermöglichte iCloud-Account-Übernahme | heise Security

 

[agaiz]

Quelle: Bericht: Apple-Support ermöglichte iCloud-Account-Übernahme | heise Security

Das verlinkte Interview mit Mat ist auch sehenswert (ca. ab 05:00 Min.)

 

[Hades2k]

Korrekt, und der Gizmodo Account war mit seinem privaten Twitter Account gelinkt - somit hatten die keinen Passwort Zugriff darauf konnten aber als Gizmodo Posten.

 

[iLLuminatusANG]

sagt ihm halt auch noch wie es funktioniert dafür gibts doch andere foren

ich frage mich nur, ob sich dadurch was ändert....

 

[agaiz]

Die Hintergründe gibt es nun bei Wired zu lesen.