iCloud-Foto-Hack: Apple untersucht die Hintergründe
Die gestern über das Internet verbreiteten privaten Fotos von Weltstars wie Jennifer Lawrence, Kirsten Dunst oder auch der US-Torhüterin Hope Solo sorgen bei Apple für Überstunden. Angeblich erleichterte den Angreifen eine mittlerweile geschlossene Schwachstelle bei iCloud den Zugriff auf die persönlichen Daten der Betroffenen.
(Bild: Shutterstock)
Eine Apple-Sprecherin betonte gegenüber dem amerikanischen Onlinemagazin Re/code, dass man die Sicherheit der privaten Daten der Anwender sehr ernst nehme und die Vorgänge derzeit aktiv untersuche. Bislang deutet alles darauf hin, dass die Angreifer die zu den iCloud-Konten der Betroffenen gehörenden Kennwörter durch eine automatisierte Abfrage erraten konnten, da Apple die Zahl der Eingabeversuche nicht limitiert hatte. Verhindert werden hätte dies nicht nur durch die nun nachträglich von Apple getroffenen Maßnahmen, sondern auch durch komplexere Kennwörter sowie eine Aktivierung der sogenannten Zweistufigen Bestätigung können. Allgemein wird vermutet, dass die Hacker die Kennwörter mithilfe einer „Wörterbuch-Attacke“ erraten haben, komplexe Kennwörter wären hier ein deutlich größeres Hindernis als gewöhnliche Begriffe. Zudem kritisiert ein Sicherheitsexperte in dem Re/code-Bericht die Tatsache, dass Apple die Möglichkeit der „Zweistufigen Bestätigung“ als zusätzliche Kontensicherung nicht nur sehr spät eingeführt habe, sondern auch nicht aktiv genug bewirbt: „Man muss sich durch die Hilfeseiten bei Apple wühlen, um Informationen dazu zu finden“.
Apple bewirbt Sicherheits-Funktionen nicht aktiv genug
In der Tat ist die Kommunikation in diesem Zusammenhang sehr nachlässig. So hat Apple die deutschsprachige Version des zugehörigen FAQ-Dokuments wieder entfernt und lässt ehemals gesetzte Links darauf statt wie bei anderen Support-Dokumenten üblich auf die englische Version nun komplett ins Leere laufen. Dabei sollte die Aufklärung gerade in diesem Fall umfassend und vorbildlich sein. Die zweistufige Bestätigung ist im Gebrauch letztendlich einfach und komfortabel, lediglich der Aufwand bei der Einrichtung schreckt mehr ab als nötig. Falls ihr dieses Sicherheitsfeature noch nicht eingerichtet habt, nehmt euch die zehn Minuten Zeit dafür. Weitere Informationen dazu findet ihr hier.
So oder so, es bleibt ne cloud, ergo: Sicherheitsrisiko besteht immer.
Nach diesem Vorfall sollte Apple überlegen, ihren Dienst in „ge“cloud umzubenennen.
Genau aus solchen Gründen ist bei mir die Cloud seit Beginn deaktiviert. Da mache ich mir doch lieber den Aufwand und synchronisiere alles lokal.
Weil du auch Nacktbilder von dir in der Cloud hast?
wohl eher weil Apple grundsätzlich keine Daten-Sicherheit garantieren kann.
Verstehe… Weil die ganzen „Stars“ zu blöd sind, sich für iCloud ne anonyme Adresse zu zulegen und ein halbwegs vernünftiges Passwort, ist also Apple schuld…
@Horst: Du liest nicht richtig! Apple hat nachgebessert, ergo waren auch schuld dran.
Nein, Yuckfuck, DU kannst wohl nicht lesen!
.
Wenn das Passwort hinreichend komplex gewesen wäre, hätte dieses simple brute force nicht ausgereicht. Apple hat jetzt nun wegen diesem Fall die Wahrscheinlichkeit verringert, dass brute force funktioniert, aber Apple hatte NICHTS fehlerhaft implementiert.
.
Klar, wenn man ISUCK heißt, dann ist es klar, dass man nicht lesen kann.
Wahnsinn wie jetzt wieder einige Apple schön reden. Ist wirklich amüsant. Immer schön den führer schützen!
Wenn seitens Apple zu einem gängigen bzw. bekanntem Angriffszenario nicht genügend schutz geboten wird, dann ist das auch eine Mitschuld seites Apple. Und jetzt lieber Tobias, geh weiter nuckeln…
Ach, ISUCK, was bist du bloß für ein böser böser Junge. Lässt dich Mami nicht mehr ran?
.
Ich habe nur klargestellt, dass es KEIN Fehler den Zugang zu diesen iClouds ermöglichte. Da brute force gerne gemacht wird, hätte Apple dies implementieren sollen. Aber wisst ihr was? Bei Apple arbeiten Menschen, die offenbar nicht an so eine mögliche Missetat von anderen gedacht haben! Aber ISUCK ist offenbar ein Nazi und meint, dass alles „voll korrekt“ programmiert sein muss.
Hey ISUCK!
.
http://m.heise.de/newsticker/m.....11747.html
Apples nutz die claut für andere Zwecke
Aber nicht für deine Sicherheit und das zeigen und Hacker immer wieder .
Kann ich nicht bestätigen meine Frau und ich wurden irgendwann (ich glaube bei einem Start von iTunes darauf hingewiesen und es würde ausdrücklich empfohlen und dann auch von uns beiden sofort eingerichtet.
Selbst Schuld, wenn man das nicht als wichtig empfindet und dann evtl. noch das Passwort: Passwort verwendet!
vielleicht erklärt auch das ein wenig mehr und das die icloud gar nicht so viel damit zu tun hat:
http://i.imgur.com/vnd0H9J.jpg
Macht Sinn.
Sehr peinlich für Apple. Gerade wenn man bedenkt, dass sie in ein paar Tagen das Zahlen mit dem iPhone einfûhren und entsprechend als „sicher“ bewerben wollen. Sowas darf eigentlich nicht passieren, wie kann es sein dass man im Jahr 2014 keine Begrenzung bei falscher Passworteingabe hat?!
Stimmt, das mit dem Zahlungsmodell habe ich noch gar nicht im Zusammenhang gesehen. Das ist natürlich sehr schlechte Presse so kurz davor.. Mal sehen, ob die Partner da nicht sofort wieder abspringen..
Apple hat es mit der Sicherheit noch nicht so richtig ernst genommen .
Das hab ich mir auch gedacht brutForce Attacken sind gängige Praxis! Wie kann man kein Limit bei den Eingabeversuchen setzen! Unglaublich! Sollte das tatsächlich so stimmen wäre ich extrem enttäuscht von Apple!
Sehr peinlich für Apple. Gerade wenn man bedenkt, dass sie in ein paar Tagen das Zahlen mit dem iPhone einfûhren und entsprechend als „sicher“ bewerben wollen. Sowas darf eigentlich nicht passieren, wie kann es sein dass man im Jahr 2014 keine Begrenzung bei falscher Passworteingabe hat?!
Was mich bei der Sache mal interessieren würde: Wer hat denn eigentlich die Fotos gemacht? Die sog. Stars regen sich darüber auf, dass die Fotos in den Umlauf geraten sind. Aber dazu müssen sie ja erst mal existieren. Und wer sie dann noch in einer relativ unsicheren Cloud-Umgebung ablegt, der braucht sich eigentlich nicht aufzuregen. BTW: über welche Fotosmreden wir hier eigentlich? Zu einem vernünftigen Beitrag gehören doch immer auch ein paar Links, oder? :-)
Und wer nachts in einer relativ unsicheren Hosentasche Geld mit sich führt, der braucht sich auch nicht aufzuregen, wenn er überfallen wird, oder was? Wieso gebt ihr eigentlich alle den Opfern die Schuld? Keiner scheint sich über den Hacker aufzuregen oder darüber, daß die Cloud-Betreiber anscheinend nicht in der Lage sind, ihre Server ordentlich abzusichern.
Ja, der Hosenhersteller ist eindeutig Schuld weil dein Geld und der Hosentasche nachts nicht sicher genug ist! Lass mal die Kirche im Dorf, wer so sensible Daten ins Netz lädt, muss auch damit leben, wenn sie verloren gehen oder geklaut werden. Ein simpler Blick in die AGBs hätten gereicht um sich da ausgiebig zu informieren. So viel Verstand sollte man eigentlich voraussetzen um im Internetzeitalter überleben zu können…
Spielt doch keine Rolle wer die Fotos gemacht hat, es ist ja auch nichts schlimmes – das macht jeder. Es ist erst dann schlimm, wenn es alle sehen. Von daher kann man denen keinen Vorwurf machen, „Stars“ sind auch nur Menschen wie du und ich.
Obwohl die sich sowieso für bischen Geld in irgenwelchen Magazinen Nackt räkeln .. ;)
es ist ja nicht mal sicher das die Fotos aus icloud stammen. Neben Fotos wurden auch Videos geklaut und iCloud speichert keine Videos. Außerdem sind viele Bilder nicht mit einem iOS Gerät geschossen und in dem Dateien sind Spuren von Dropbox. Erst mal abwarten und die Herkunft ermitteln lassen bevor verurteilt wird.
Im Fotostream zum Teilen schon. Da müssen sie aber aktiv geteilt werden. Im normalen Stream weiss ich es jetzt nicht.
natürlich sind auch Videos enthalten. Innerhalb des Backups in der iCloud lässt sich bei Vollzugriff eigentlich alles wiederherstellen was diejenigen auf ihrem Gerät drauf haben.
So lassen sich übrigens auch Aufnahmen von Fremdgeräten in die Camera Roll und somit ins iOS Backup unterbringen. Ein Video zum Beispiel mit einer GoPro und zum angucken aufs iPad ziehen…
Was mich eher interessieren würde: Wie erkennt man denn Spuren von Dropbox in Dateien?? Anhand vom automatischen Fotoupload und der Benennung oder schreibt Dropbox tatsächlich in irgendwelche Metainformationen etwas zusätzlich rein??
nicht Apple hat Schuld, sondern die Celebs die keine komplexen Passwörter verwenden. Die meisten Leute wissen gar nicht was ein komplexes Passwort ist
Nicht Apple hat schuld? Leute haben verdammt komische Ansichten wenn sie es als nichtbetroffener von aussen betrachten. Vielleicht war es ja bei einigen ein Sicheres Passwort. Nur stand „shv3$!hzdgj6b“ mit auf der Liste weil sie den schon mal bei einem anderen Hack im Klartext ausgelesen wurde und in der BruteForce Liste zum hacken eingepflegt wurde.
gute Güte …
Nein, das siehst du natürlich ganz falsch! Das ist wie mit der Wohnungstür. Wenn die einer mit Tesafilm zuklebt, statt mit einem Schloss verriegelt, ist auch der Türhersteller schuld. Ist ja auch logisch!
ich finde die BruteForce Vermutung ziemlich schwammig. Zum Kennwort gehört immer noch die AppleID. Erst beides ermöglicht zugriff auf die Cloud. Und bekommt man nicht eine neue Nachricht, wenn sich ein weiteres, neues Gerät mit der AppleID anmeldet?
Die apple id ist im allgemeinen identisch mit der öffentlichen eMail wo man nur die Endung gegen @me.com tauschen muss. Auch ich nutze Apple als eMail Provider und hab so meine eMail sogar privat (öffentlich) im umlauf.
–
Ich konnte einem bekannten den ich nur bei Facebook kannte eine iMessage schicken. Denn Facebook zeigt die eMail @facebook.com öffentlich an. Dann muss man die endung nur gegen eine der grossen Anbieter tauschen und irgendwan kann man sehen das bei SMS Senden alles Blau wird. Richte Mail für iMessage erraten.
wer hier vielleicht sogar mit etwas schadenfreude beiträge postet: sind doch selber schuld die promis -warum machen sie auch ‚ sooo private fotos‘; hats mal wieder nicht kapiert.
ich kenne sogar ihre argumentation, wenn wieder eine s.c.h.w.e.i.n.e.r.e.i zur totalüberwachung der privatsphäre in den medien publik wird: „ich habe doch nix zu verbergen“. die leute würden gut in das alte china passen. den hat man öfter jenen bedauernswerten boten, welcher schlechte nachrichten überbringt, den kopf abgeschlagen. denn sie hätten auch hier den wahren schulden sofort richtig erkannt. :-))
Tja, ich sags wieder: Pech gehabt. Sichere Kennwörter und BEWUSSTSEIN schützt. Das werden viele Strunzdumme leider nie lernen …
Das ist sicherlich aller eine riesige PR-Aktion für den neuen Film „Sex Tape“ :D
der läuft allerdings in den USA schon ^^ musste ich allerdings auch sofort dran denken als ich erst den deutschen Trailer und direkt danach eine Meldung über die Reaktion von Jennifer Lawrence gesehen habe
Wurde auch gestern schon im TV & Radio gemeldet (Promi-Accounts per Brute-Force-Attacke gehakt..)
Nun mal etwas zum Nachdenken:
Wie wahrscheinlich ist es, von dieser Masse Promis die jeweilige Account-Adresse zu besitzen und alle Accounts per Brute-Force einzeln zu hacken?
Ich befürchte vielmehr, dass die Hacker eine andere Schwachstelle auftun konnten und in das iCloud- System eindringen konnten – ich wünsche denen jedenfalls viel Spaß bei der Suche …
an die AppleID ist bei den meisten mit ein paar versuchen drauf zu schliessen. Und verwendet wurde ja eventuell das Programm iBrute, was genau darauf spezialisiert war und nach der Änderung von Apple nicht mehr funktioniert, laut eigener Aussage der Programmierer von iBrute
Und wo kann man die geklauten Bilder noch sehen? Kann jemand ein Link hier posten?
guck doch einfach per Google Bilder Suche. Auf diversen Promi-Klatsch Seiten sind die Bilder zensiert zu finden. Oder guck bei 4chan oder Twitter wo es ja zuerst verbreitet wurde…
Alles, was ich irgendwem zur Lagerung anvertraue ist mit einem Sicherheitsrisiko verbunden. Wer glauben will, dass seine Daten in der Cloud sicher sind, sollte sich darüber bewusst sein, dass er es mit Glauben und nicht Wissen zu tun hat. Ich möchte auch glauben, dass es ein Leben nach dem Tod gibt. Aber selbst der Papst kann mich davon nicht überzeugen. Grundsätzlich gilt doch: Dinge, die ich nicht will, dass sie andere sehen oder lesen, gehören nicht auf fremde Server, ob es Nacktbilder, Kontodaten oder persönliche Texte sind. Cloud ist der richtige Begriff: die Wolke ist für uns so vage und unerreichbar, das da nix mit Kontrolle oder Sicherheit ist.
Ich glaube an das Böse :-))
Wenn Du Profitgier damit gleichsetzt, hast Du des Pudels Kern getroffen.
Das ganze ist völlig indiskutabel und höchst peinlich.
Und da können alle Sagen was sie wollen aber das iPhone ist das unsicherste Telefon von allen .