Geklaute Nacktfotos: Apple sieht Fehler nicht bei iCloud
Apple hat eine Stellungnahme hinsichtlich der zumindest teilweise aus gehackten iCloud-Konten stammenden privaten Fotos von weiblichen US-Stars veröffentlicht. Nach einer intensiven Untersuchung sei man zu dem Ergebnis gekommen, dass einige Nutzerkonten von bekannten Persönlichkeiten von gezielten Angegriffen betroffen waren, die auf Benutzernamen, Kennwörter und die bei Apple hinterlegten Sicherheitsfragen abzielten. Keiner der untersuchten Fälle habe allerdings mit einer Sicherheitslücke seitens Apple in Zusammenhang gestanden.
Update to Celebrity Photo Investigation
We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.
Die Stellungnahme soll natürlich Wogen glätten und schiebt den schwarzen Peter den Nutzern zu, die offenbar leichtfertigerweise nur schwache Passwörter verwendet haben. Dennoch muss die Frage erlaubt sein, warum die angegriffenen Konten nicht nach einer gewissen Anzahl von Fehlversuchen komplett gesperrt wurden. Zumindest bislang hat es nämlich weiterhin den Anschein, als wurden die Zugänge durch automatisierte Login-Versuche erlangt. Abschließend gibt Apple aber den gleichen Rat, den wir euch heute und mehrfach auch schon in der Vergangenheit ans Herz gelegt haben. Verwendet grundsätzlich sichere Kennwörter aus Buchstaben-Zahlen-Kombinationen, die sich nicht durch einfache Wörterbuchabfragen erraten lassen, und sichert euer Konto zusätzlich durch weitere zur Verfügung stehende Maßnahmen wie Apples zweistufige Bestätigung.
You’re holding it wrong :)
Genau so isses! Diese Kunden machen aber auch ALLES falsch…
Und es ist ja auch tatsächlich niemand in die iCloud EINGEBROCHEN… (wozu auch, Apple hat schließlich ganz fürsorglich die Originalschlüssel unter die Fußmatte gelegt – so etwas Nettes AUSZUNUTZEN ist sowas von GEMEIN!!!)
Wenn jemand eine Geldautomaten-Software auf den Markt bringen würde, bei der man so lange falsche PINs eingeben kann, bis man zufällig „die Richtige“ erwischt, würde doch auch niemand von einem SICHERHEITSPROBLEM sprechen…
Ist aber auch gar nicht vergleichbar: Beim Geldautomaten müsste man die PINs ja mühsam von Hand eintippen, bei der „Find-My-Phone-API“ ging das alles viel einfacher per Skript – sogar DA ist Apple einfach besser als alle Anderen…
Und dann die messerscharfe Analyse nach nur 40 Stunden „investigation“: Es war „ein sehr zielgerichteter Angriff“ auf Zugangsdaten – „etwas, das im Internet nur allzu oft passiert“. WOW!
Wenn man das nur FRÜHER gewusst hätte… Aber wer konnte denn schon ahnen, dass jemand die Gutherzigkeit von Apple so schamlos ausnutzen würde…
War von vorn herein klar. Celebs sind halt auch nur Menschen die ihre eigenen Passwörter erstellen, und wenn diese unter noch größerem Beschuss stehen als die eines Otto Normalbürgers kann das halt mal passieren.
Sie sind nunmal: „persons of interest“.
Vielleicht war dieses „sperren nach X Fehlversuchen“ extra für die NSA deaktiviert. ;-)
Ah! Die hatte ich fast vergessen!
Moog Steve gäbe es das nicht!!!
Fehlt meiner Meinung nach noch… ;)
*Mit :(
Wohl kaum. Die bekommen die Liste mit den Passwörtern ja geliefert.
Zweistufige Bestätigung, check!
Sollte Standard werden
Was genau ist denn das. Habe NUR ein iPhone. Geht das da auch oder brauch man dann auch mindestens zwei Geräte?
Das geht auch wenn man gar kein Gerät hat und einfach nur iTunes Kunde ist :D
Ist die Zwei-Faktor-Authentifizierung aktiviert, reicht das Passwort alleine nicht mehr aus, um sich damit auf einem anderen Gerät anzumelden. Bevor Einkäufe getätigt und Zugriff auf die iCloud erlangt werden kann, muss zusätzlich ein Code eingegeben werden, der dir per SMS zugeschickt wird oder alternativ an ein „vertrauenswürdiges“ Apple-Gerät. Auch wenn du nur ein iPhone besitzt, macht es also Sinn, die Zwei-Faktor-Authentifizierung zu aktivieren, damit andere sich nicht mehr nur mit deinem Passwort an einem anderen Gerät anmelden können.
Gut erklärt
Dankeschön, werde es aktivieren.
„Zumindest bislang hat es nämlich weiterhin den Anschein, als wurden die Zugänge durch automatisierte Login-Versuche erlangt. “
Was haben denn Sicherheitsfragen mit „automatisierten Login-Versuchen“ zu tun? Wäre es der Find-My-iPhone-Bug gewesen, warum sollte Apple dann von Sicherheitsfragen schreiben?
Man muss (gerade!!!!) als Prominenter schon extrem auf den Kopf gefallen sein wenn man ein Standardpasswort für die iCloud nutzt! Schießlich sind es auch genau diese Berümten läute die Hohe Wände mit Kameraüberwachung vor ihren Heusern (zu recht) benötigen! Tut mir leid aber vor der Kombination Star, schlechtes Passwort, Nacktfotos auf iCloud (im Zusammenhang mit vorgenannten beiden Fackten) und zuletzt dessen Diebstahl hab ich wenig Mittleid!
“ Berümten läute die Hohe Wände mit Kameraüberwachung vor ihren Heusern“ Aua! Rechtschreibung?
Ich glaube, diese Fehler waren Absicht. Lies mal den Rest durch ;)
Fackt ist sie sind ein grammer-nazi, welcher sich hinter den Hohen Wänden des Internets Heuses versteckt ;)
Glaube ist hier fehl am Platze, Mike. Selbstredend sind die Fehler keine Absicht, sondern schlichtweg passiert, weil er sich nicht besser ausdrücken kann.
Nicht immer nur atzen! Es gibt auch Menschen mit einer Rechtschreibschwäche. Die können nichts dafür. Zwar wird dieses Manko durch moderne Rechtschreibfeatures in den Geräten abgemildert, aber eben nicht komplett terminiert. Ich habe sogar schon von Deutschlehrern gehört, die dieses Handicap haben. Also bleibt cool und freut euch das ihr es besser können tut. :)
Ich selbst bin auch schwer Legastheniker. Und dieses ewige rumgeakke auf der Rechtschreibung die meist auch noch sehr beleidigend ist warum ich oder wir so gut wie nie im Netz aktiv werden. Sehr schade
Naja, wir hatten eine Teleinformatik-Firma nähe Zürich, die alle, wirklich alle Admin-Accounts, die per remote zugänglich waren, mit 12344 gesichert hat. Vollzugriff, eingerichtet von einer CH IT-Firma, nicht einem Promi.
Und wir sind nur zufällig darauf gestossen.
Apple redet von den Sicherheitsfragen, weil man durch das Erraten von offensichtlichen Antworten auch Zugriff auf den Account erlangen kann.
Wie… Da stand „wählen sie ein Passwort“ also hab ich „ein Passwort“ als Passwort … War das falsch ?
Mit Fips Asmussen gefrühstückt!?!
Dazu gibt es einen interessanten Artikel bei Wired, demzufolge nun wirklich weder Apple noch die Promis Schuld tragen, sondern vielmehr ein Programm, welches für Polizei und/oder Geheimdienste entwickelt wurde. Anscheinend lädt das Ding die Backups aus der Cloud herunter, was erklären würde, daß einige der Betroffenen behauptet haben, sie hätten die Fotos längst gelöscht. Link hier:
http://www.wired.com/2014/09/e.....pb-icloud/
Die dort genannten Tools machen den Zugriff nur leichter. Das Grundproblem ist jedoch, dass anscheinend keine starken Passwörter genutzt wurden (Problem der User), noch dass Apple überhaupt bruteforce Attaken zuließ und nicht nach x-Fehlversuchen den User bzw dessen IP erstmal blockte.
Für das Ausschalten der „Find my IPhone“-Funktion schickt mir Apple ein Mail. Warum gibt es so was nicht auch bei bspw. drei Passwort-Fehlversuchen, wenn diese nicht von einem Gerät kommen, dass mit der Apple-ID genutzt wurde???
Naja. Bei allem Sicherheitsvertrauen ist es doch immer ratsam keine vertraulichen oder sehr privaten (intime) Daten im Netz zu speichern. Mal davon abgesehen, dass man selber Schuld ist wenn man ein Nacktfoto von sich selbst macht. Sobald ich das Foto an einen Dritten sende habe ich keine Kontrolle mehr darüber und wenn ichs für mich selber mache, ist ein Gang zu einem guten Psychiater (Narzistische Tendenzen) empfehlenswert.
Ist ja auch so schwierig die 3 Sicherheitsfragen der Promis zu erraten.
Die Deppen stellen doch so alles ins Netz bei Twitter, Facebook und Co.
-Wie heisst mein Hund?
– wie heissen meine Eltern?
– Wo bin ich zur Schule gegangen?
Das errät doch keiner….
Ich habe es geschafft meine iCloud 100% sicher zu machen: Vor einigen Wochen habe ich sie einfach geleert und deaktiviert. Kontakte und Kalenderdaten auf posteo.de Persönliche Daten, wie Texte in DevonthinkPro auf allen Devices via WLAN-Synchro. Hab da erstmal kapiert, wie dämlich dieser Hang zur totalen Verfügbarkeit meiner Dateien eigentlich ist. Es gibt genügend Möglichkeiten komfortabel und gleichzeitig sicher mit Mac, iPad und iPhone zu arbeiten.
Bei den geleakten Selfies der Celebs ist auf jeden Fall fast immer ein iPhone im Spiegel zu sehen ;-)
Weil sie die iCloud benutzt haben und dafür die meisten ein Applegerät hernehmen?
Sherlock Du! :)
Es sei mal dahin gestellt, dass es grundsätzlich einfach dumm ist solche Bilder in die Cloud zu stellen.
Ebenso einfache Passwörter und Sicherheitsfragen zu verwenden.
Solche Probleme sind den Herstellern durchaus bekannt und es ist deren Pflicht es eben Angreifern so schwer wie möglich zu machen, angefangen von Wartezeiten nach x Versuchen, bis hin zur Zwangs 2-Faktor Autorisierung. Und hier muss Apple (und andere Hersteller) sich an der eigenen Nase packen.
Wer ist denn in der normalen Welt dafür zuständig, dich vor sowas zu schützen? Wer Bilder schlecht geschützt ins Internet stellt, der kann die auch an eine Pinnwand hängen. Da kann ich nicht den Hersteller der Kamera oder der Pinnwand dazu verpflichten, mich zu schützen. Wenn ich da eine Abdeckung drüber mache und diese mit einem Zahlenschloss sichere, muss ich davon ausgehen, dass jemand die Zahl rät oder die Abdeckung nicht sicher ist.
Apple dürfte nur nicht so tun, als ob die Cloud sicher wäre.
Letztendlich bin ich immer dafür verantwortlich, das stellt keiner in Frage.
Aber Apple als Anbieter der Cloud muss doch verhindern, das beliebig viele Kombinationen eingegeben werden können ohne einen zeitlichen Versatz.
The Fappening: bester tag des Internets und wir waren dabei!
Die Wiedervereinigung, dass 7:1 gegen Brasilien und the fappening; das ich das alles miterleben durfte :)
..ich verstehe nicht, wieso noch niemand hinterfragt hat, ob es wirklich die iCloud war von wo die Leaks stammen? Es ist ja auch die Rede von persönlichen Videos die von den Handys stammen und das geht meines Wissens nicht über die iCloud sondern Dienste wie Dropbox.
Derjenige, der es veröffentlicht hat, sagt, dass es so ist und Apple bestätigt, dass die Accounts einiger Stars gehackt wurden.
Da niemand, der sich näher mit der Sache beschäftigt, das Gegenteil behauptet hat, gehe ich also erstmal davon aus, dass es stimmt.
Peinlich Apple, peinlich! Apple gibt zu, dass die Bilder von ihren Servern entwendet wurden.
Nun packen sie das alles schön in Watte und der Großteil ihrer Nutzer setzt (hier) wieder die rosarote Brille auf (als äatte es die Diskussion hier um whatsapp nie gegeben)…
Apple legt einfach fest, dass es keine Sicherheitslücke ist, wenn man brute-force Attacken zulässt (und das in der heutigen Zeit! Selbst arcor hat vor zehn Jahren mit ihrer pia Plattform sowas weitestgehend unterbunden)…
Der Großteil stattdessen macht es sich mit der rosaroten Brille wieder besonders einfach und schreiben hier wild um sich a la „schaut, schaut da, die doofen Promis“ bla bla bla…
An diesem Dreck hat Apple Mitschuld…
Wer Bilder in irgendeiner Cloud speichert darf sich später nicht wundern….
logisch ☛ hätten sie halt keine Fotos gemacht. Wieso sind wir (Apple) da Schuld.
Im Endeffekt die gleichen S.c.h.w.e.i.e.p.r.i.e.s.t.e.r wie alle anderen US IT Konzerne.
Alle in einen Sack, sowie einer den Kopf raus steckt ✒ und du triffst NIE den Falschen!