ifun.de — Apple News seit 2001. 21 674 Artikel
Fehler in Apples Login-Formular

iCloud-Erpresser: Account-Daten könnten von Apple stammen

Artikel auf Google Plus teilen.
47 Kommentare 47

Die Account-Daten, mit denen die Hackergruppe „Turkish Crime Family“ seit der vergangenen Woche Druck auf Apple ausübt – ifun.de berichtete ausführlich – könnten direkt aus Cupertino stammen.

Diesen Schluss lassen die Code-Experimente des Entwicklers Zain Amro zu. Amro stolperte vor knapp zwei Wochen über einen Bug auf Apples offizieller iCloud-Seite. Diese füllte die E-Mail-Adresse in ihrem Login-Formular beim Besuch automatisch mit zufälligen iCloud-Konten aus.

Amro schrieb daraufhin ein Python-Script, das die Apple IDs einsammelte, kontaktierte Apples Security-Team und veröffentlichte seine Erkenntnisse auf dieser GitHub-Seite.

The other day, I noticed Apple has been autofilling the value of the ‚Apple ID‘ field with random email addresses; this happens every now and then. The script basically spins up several threads, makes requests to the login page, and prints the autofilled email address if it exists.

Zurück zur „Turkish Crime Family“. Die Hackergruppe will nach eigenen Angaben im Besitz von 300 Millionen iCloud-Accounts sein und hat Apple zur Zahlung eines Lösegelds aufgefordert, um die Konten nicht zu übernehmen bzw. zurückzusetzen.

Amerikanische Medienvertreter konnten die Validität mehrerer Accounts inzwischen überprüfen. So hatte die Hackergruppe dem Portal ZDNet ein Sample aus 54 Account-Daten zur Verfügung gestellt. Laut ZDNet habe es sich bei allen Datensätzen um bestehende iCloud-Konten gehandelt, darunter nicht nur @icloud.com-Adressen, sondern auch die früher von Apple verteilten @me.com und @mac.com Accounts. ZDNet habe anschließend alle Account-Inhaber kontaktiert und könne bestätigen, dass man 10 positive Rückmeldungen von Anwendern erhalten hätte, die die Richtigkeit der Login-Daten verblüfft bestätigten und umgehend änderten.


Account Daten

Die aktuelle Arbeitsthese: Die Hacker hätten den von Amro gefundenen Bug in Apples Login-Formular nutzen können, um an valide iCloud-Adresssätze zu kommen und könnten diese anschließend mit Passwortlisten zurückliegender Account-Diebstähle (etwa bei Yahoo) abgeglichen haben.

Nach Angaben der Hacker hat Apple bis zum 7. April Zeit das „Lösegeld“ bereitzustellen, andernfalls würde man die Konten zurücksetzen.

Montag, 27. Mrz 2017, 14:12 Uhr — Nicolas
47 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Ist ändern nun angesagt oder bin ich mit der 2-Faktor-Methode safe?

    • Du bist auf jeden Fall save!
      Selbst wenn man sein Apfel-Gerät mit deinem iCoud Account verbinden möchte kommt das popup mit der Verifizierung.

      • hoerspielkassette

        Wie schon öfters angemerkt wurde, kann man die Fernlöschung auch OHNE Zwei-Faktor-Authentifizierung durchführen.
        Wer absolut sicher gehen will, sollte das Kennwort ändern.

      • Nein bist du nicht… mann kann das „mein iphone suchen“ tool (mit welchem auch das iPhone gelöscht werden kann) auf der icloud webseite auch ohne 2 faktor authentifizierung nutzen… Schließlich könnte ja auch dein einziges 2fa Gerät das iPhone sein was du gerade verloren hättest. Einfach mal ausprobieren.
        Passwort ändern und (schlimm dass man das eigentlich noch sagen muss) überall ein anderes Passwort verwenden und in einem Notizblock oder passwortmanager schreiben/speichern

      • @ifun Team: vielleicht solltet ihr die Leute in einem Artikel darüber informieren dass in diesem Fall die 2 FA leider nicht schützt? Die Daten sind zwar vor dem Fremdzugriff geschützt aber nicht vor fremd Löschung… Das gilt übrigens auch für mit der Apple ID verknüpfte Macs

      • Nicht über die iPhone Suche App am iPhone. Da erfolgt keine Abfrage.Kann man problemlos sich mit der appleID und PW einloggen egal ob two factor, two step … Bist dann drinnen und kannst das iPhone fern löschen =)

      • Niemand ist sicher.
        Man kann mit der Kombi aus Mail und Passwort ein iPhone mit aktiviertem „Mein iPhone suchen“ fernlöschen, ohne ein 2FA-Dings eingeben zu müssen.

      • Es lässt sich aber über die mein iPhone-Suche App umgehen. Dort muss man nicht den 6 stelligen Code eingeben um sich anzumelden

      • Kann man nicht. Schon beim log in wird der zweite Faktor bei mir abgefragt wenn ich diesem Gerät noch nicht vertraut habe.

      • @revosbackback Dachte ich bisher auch aber du solltest es tatsächlich mal ausprobieren! Dann stellst du fest das zwar die 2FA Abfrage kommt aber unterhalb kann man die Iphone Suche nutzen und das iPhone fernlöschen.

    • Passwort ändern! Du bist mit der 2FA nicht safe! Geräte lassen sich über iCloud ohne 2FA fernlöschen!

  • Passt das nicht mit der Zeit zusammen, wo einige sich gemeldet hatten, dass sie ständig ihre iCloud Adresse bestätigen sollten?

  • Wie siehts mit der Two-Factor Authentifizierung aus?

  • Hm, sollte man nun anfangen, seine Passwörter zu erneuern? Und – schütze das überhaupt?

  • Was mich wunder, die geforderte „Lösesumme“ ist recht gering und die Zeit bis die Frist abläuft finde ich recht lang.

  • wird immer peinlicher für apple…

  • Benutzen wirklich so viele ihr icloud-Adresse für andere Dienste im Internet? Meist hat man doch ein anderes Haupt-Mailkonto! Deswegen glaube ich nicht, dass die 300 Mio. iCloud-Konten über den abgleich mit alten Datendiebstählen zusammenbekommen.

    Es müsste das auch bedeuten dass diese 300 Mio. auch beide male das gleiche Passwort nutzen. Das halte ich für unrealistisch. Entweder haben die deutlich weniger Daten oder sie stammen woanders her.

    Ausserdem würde das Apple doch auffallen wenn sich mehrere Millionen Accounts in kürzester Zeit von der gleichen IP einloggen!

  • Und Apple hat sofort alles bestritten. Das zum Thema Ehrlichkeit.

    • Nein, Von seitens Apple kam nur die Aussage, man sei nicht gehackt worden. Ob die Hackergruppe im Besitz von Logindaten ist wurde nicht bezweifelt. Und das was hier beschrieben wird ist kein hacken.

  • Wir warten mal bis zum 07.04, Welche Uhrzeit eigentlich?

  • Ich blicks noch nicht ganz. Jetzt ändern doch viele ihr Passwort. Und Apple könnte alle User informieren. Wie kann man dann noch erpressen???

    • Die Reaktionsrate das Passwort zu ändern liegt bei 300 Mio. Usern sicher < 1%…

    • Viele? Ein Bruchteil der 300 M Accounts wird ihr Passwort wegen dieser Geschichte ändern. Wie soll man das auch mitbekommen, wenn man nicht grad regelmäßiger Besucher von Seiten wie ifun ist?

      • die geschichte findet man nahezu auf jeder nachrichten-website. google doch mal danach. die zeitungen, die das dort schreiben haben das bestimmt auch in ihren print-ausgaben. damit wird man schon mehr als nur 2 menschen erreichen.

      • ich weiss von mid. 2 Personen, die sich nicht sonderlich darum kümmern (und bitte nicht sagen: selbst dran schuld), sie verfolgen einfach nicht solche it-nachrichten und freu(t)en sich, dass ich ihnen diesen Hinweis gegeben habe. apple könnte aber eine mail an ALLE apple-id Besitzer senden mit dem Hinweis, dann man das pwd umgehend ändern sollte.

  • Macht es Sinn vorsichtshalber das Passwort der Apple ID zu ändern, trotz aktivierter Zwei-Faktor-Authentifizierung?

  • Grund genug das Passwort mal wieder zu ändern.
    Sollte mal ja alle 3 Wochen machen *lol*

  • Das ist doch Quatsch. Dieser Bug hat mit der Erpressung garantiert nix zu tun. Was bringt den Hackern denn das für einen Vorteil?

  • mir muss mal jemand erklären, wie die an die Passwörter gekommen sein sollen. Passwörter werden im Normalfall nirgends gespeichert.

    • Wie wird beim Login geprüft ob du das richtige PW eingegeben hast? Passwörter werden gespeichert! Gute Anbieter hashen, salzen und verschlüsseln die gespeicherten Passwörter und lassen sich nicht hacken.

      • Eben, ein guter Anbieter speichert kein Passwort, sondern nur seinen Hash, mit dem man normalerweise nix anfangen kann

  • Auf der Apple ID Seite lässt sich zur Zeit das Passwort nicht ändern. Nach der Eingabe des neuen Passworts bricht der Vorgang ab. Haben andere auch dies Problem?

  • Für den Fall das es so ist und mein Handy auch Tatsächlich dann gelöscht wurde. Bringt es was am 06.04 noch mal ein Backup auf die HDD zu machen? Wenn ja dann kann ich das doch am 08.04 wieder ein spielen und dann als Betroffener immer noch das PW wechseln. Das nun schon das 5te mal das ich wegen irgendwelchen Aktionen von Idioten mit Langeweile vor dem Bildschirm mein Passwort ändern muss und am ende wusste man nie ob man betroffen war. Einmal zu Anfang hab ich mal +50 Passwörter geändert. Das war ein spass. Mittlerweile hab ich ja nur noch individuelle Passwörter die logischerweise schwer zu merken sind. Daher will ich die 5-10 die ich davon im Kopf hab nicht unnötigerweise wechseln. Mein Notizzettel hab ich ja auch nicht immer mit um diese nach zu schlagen.

  • Au Mann, und dabei sollte die Welt mit ihren vielen Cloud so viel einfacher werden.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 21674 Artikel in den vergangenen 5777 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven