ifun.de — Apple News seit 2001. 22 451 Artikel
   

Hacker sammeln Apple-Nutzerdaten über EA-Webseite

Artikel auf Google Plus teilen.
26 Kommentare 26

Hacker haben offenbar einen Webserver des Spielekonzerns EA dazu benutzt, um Nutzerdaten von Apple-Kunden einzusammeln. Wie der Sicherheitsdienstleister Netcraft berichtet, wurde in diesem Zusammenhang ein Webserver von EA übernommen und entsprechend manipuliert.

500

Die Hacker hatten demnach Vollzugriff auf den Server und konnten dementsprechend eine Kopie der Apple-Webseite installieren, die eine Anmeldung mit der Apple-ID verlangt sowie weitere Nutzerdaten gesammelt hat. Anschließend wurden die Webseitenbesucher dann auf die Original-Apple-Webseite weitergeleitet.

EA hat inzwischen verlauten lassen, dass das Problem lokalisiert sei und man die Lage im Griff habe. Bislang sieht es unabhängig von dem Versuch Apple-Nutzerdaten zu sammeln nicht danach aus, dass die Hacker auch in den Besitz von sensiblen Daten auf den EA-Servern gekommen sind. (via The Verge)

Donnerstag, 20. Mrz 2014, 7:27 Uhr — Chris
26 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Naja – super Aussage. Viel sensiblere Daten als die Apple-ID samt Paßwort dürfte EA ja auch nicht haben …

    • Das dachte ich mir auch grade!
      Den scheiß auf Spielstände :-P
      Wenn Du eine Appel-ID haben kannst samt PW

    • Laut Netcraft wurden die Besucher aufgefordert weit mehr sensible Daten einzugeben als nur Email u. Passwort: „full name, card number, expiration date, verification code, date of birth, phone number, mother’s maiden name, plus other details that would be useful to a fraudster“
      Spätestens bei diesen Daten sollte man doch misstrauisch geworden sein. (Aber wahrscheinlich haben bei dem ersten Screen bereits genug Leute ihre Email-Adresse u. ihr Passwort preisgegeben)

  • ach.. Apple Benutzername und Passwort sind nicht sensibel genug auch so genannt zu werden?

  • Woher soll EA die AppleID haben? Die sollte man dort eingeben. Auf dem EA Server werden, wenn überhaupt nur EA Nutzerdaten gewesen sein.

    Und wer nach dem Aufrufen einer EA Seite nicht sein Brain 2.0 einschaltet und dann wie wild Daten von sich Preis gibt, hat auch selber Schuld.

  • Verstehe ich das richtig? Anwender haben eine gefakte EA-Webseite aufgerufen und wurden dort aufgefordert die Apple-ID + Passwort einzugeben?
    Ich frage nur deshalb weil ich mir echt nicht erklären kann warum irgendein Anwender das tun sollte, seine Apple-Daten bei einem völlig anderen Dienst unabhängig davon, ob die Seite echt ist oder nicht, einzugeben.
    Heißt also im Endeffekt auch, dass nur diejenigen Anwender betroffen sind, die das auch so von sich aus getan haben.

      • Ich habe es mir vorlesen lassen! ZWEI ! 2 x sogar, einmal von meiner Frau und einmal von Siri! Ich kann nun auch bestätigen: stimmt!!

      • der war gut ;-) meinte aber nicht den text auf ifun, sondern einen informativeren ;-)

      • Stimmt eben nicht. Die haben auf einem EA-Server eine Kopie der Apple Seite laufen gelassen und so die Daten gesammelt. Wer Lesen kann (und denken) ist klar im Vorteil.

    • Naja, viele Nutzer autorisieren sich bei Diensten oder in Apps mittlerweile mit Facebook und Co. Warum nicht mal mit Apple? Sooo abwegig ist das für den einen oder anderen vielleicht nicht…

      • Schön & gut, aber in der Regel nehme ich die Autorisierung wenn überhaupt mit Facebook oder Twitter vor. Es sollte einem schon spanisch vorkommen, dass der Login über die Apple-ID erforderlich ist.

    • Da ich auch nicht mehr infos habe wie im Artikel, kann ich mir dennoch 2 szenarien vorstellen, wo selbst Profis reinfallen könnten.
      1. um mit Ihrem Gerät alle Dienste nutzen zu können, authorisieren sie dieses…
      2. das wahrscheinlichere, wegen der Weiterleitung zu Apple:
      Die haben mit Phishing Apple Nutzer auf die Seite geholt. Da der EA Server über gültige SSL Daten verfügt, gibts auch das ok vom Browser…

  • Also da sollte eigentlich einen Mega-Shitstorm bei EA auslösen. Die Apple-ID ist definitiv mit das sensibelste was EA an Daten verlangen kann, aber es war ja eine gefakte Appleseite. Da muss man einfach aufpassen und z.B. darauf achten welche URL in der Adressleiste steht.

    • Es ist ja ne offizielle EA URL gewesen… Klar jeder der nen bisschen Ahnung hat wird misstrauisch wenn man Apple Daten bei EA angeben soll… Aber der Normalkonsument denkt in der Regel ja nicht über so etwas nach…

  • Ist wohl eher relevant in Kombination einer Mail, die einen Link auf die Website enthält.

    • Eben…man muss erstmal auf die Fake Seite gelangen und dann so blöd sein, da seine Apple ID einzugeben. Wer nicht auf den Link im Browser achtet, ist selber Schuld.

      • Wenns so einfach wäre. Es gibt leider Mittel und Wege, die Adreßzeile im Browser entsprechend anzupassen. Auch in der Headerzeile steht dann „Apple Anmeldung“ oder was auch immer in diesem Zusammenhang am besten paßt.
        Auch die eingeblendete Link-Anzeige läßt sich manipulieren. Alles abhängig von der Browser-Variante und -Version.
        Also Vorsicht mit Aussagen wie „selber schuld“ …

      • Das stimmt so nicht. Um die Adresszeile auch entsprechend zu faken muss man schon einen DNS Anriff starten (DNS Spoofing). Ansonsten ist es einfach so nur im Browser nicht möglich, die Adresszeile hinsichtlich der Domain zu manipulieren. Wenn man noch eine XSS Lücke auf einem Apple Server finden würde, könnte man natürlich eine Apple Domain verwenden, um dann auf den EA Server weiter zu leiten, aber egal wie man es angeht, solange man keinen DNS Server von EA manipuliert hat, steht am Ende auch eien EA Domain in der Adresszeile.

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 22451 Artikel in den vergangenen 5894 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven