Apple setzt Passwortrücksetzung via Telefon aus

Wie ein Apple-Mitarbeiter, der nicht namentlich genannt werden wollte, gegenüber Wired bestätigte, ist eine Aussetzung für mindestens 24 Stunden vorgesehen. Sie soll Apple vermutlich Zeit geben, um bestimmen zu können, ob eine Änderung der bisherigen Sicherheitspraxis unerlässlich ist.

Amazon reagierte ebenfalls und schloss eine Sicherheitslücke, die mit zu dem folgenreichen Hack beigetragen hatte. “Wir haben das berichtete Sicherheitsproblem untersucht und können bestätigten, dass es behoben ist”, erklärte ein Amazon-Vertreter gegenüber News.com. Apple verweigert bislang einen Kommentar dazu, ob es seine Sicherheitspraxis dauerhaft verändern will.

“Unser System erlaubt es uns derzeit nicht, Passwörter zurückzusetzen”, sagte ein Support-Mitarbeiter Apples bei einem von Wired getätigten Testanruf. “Ich weiß nicht, warum.” Bei einem früheren Versuch war es noch möglich gewesen, ein AppleID-Passwort mit Angabe der Seriennummer eines damit verbundenen Geräts zu ändern.

Der Hack hatte Mat Honans digitales Leben schlagartig in ein Chaos verwandelt. Nachdem der Angreifer sich Zugang zu seinem iCloud-Konto verschafft hatte, konnte er nacheinander die Kontrolle über sein iPhone, sein iPad und sein MacBook übernehmen. Er leitete ein Reset der iOS-Geräte sowie die Fernlöschung des Notebooks ein, die zu erheblichem Datenverlust führte. Da Honan eine von Apple vergebene E-Mail-Adresse (.Me) auch anderen Diensten zugeordnet hatte, verschaffte sich der Hacker außerdem Zugang zu seinem Gmail-Konto, das er löschte. Sein eigentliches Ziel aber war die Übernahme seines Twitter-Kontos gewesen, was ihm ebenfalls gelang. Honans Twitter-Konto wiederum war mit dem des Gadgetblogs Gizmodo.com verbunden – und dessen 415.000 Follower wurden wenig später mit anstößigen und rassistischen Tweets eingedeckt.

In Wired hat Honan inzwischen ausführlich berichtet, wie er den Hack erlebte und wie er durchgeführt wurde. Zwischenzeitlich hatte der Angreifer, der sich Phobia nennt, mit ihm Kontakt aufgenommen. “Ehrlich, man kommt in jede E-Mail-Adresse rein, die mit Apple verbunden ist”, versicherte ihm der Hacker glaubhaft.

Um Honans Apple-Identität zu übernehmen, benötigte er tatsächlich nur wenige Angaben. Ausgangspunkt war die ihm schon bekannte E-Mail-Adresse. An die Rechnungsadresse kam er durch eine Whois-Suche zu Honans privater Webdomain. Etwas umständlicher war es nur, an die erforderlichen letzten vier Ziffern einer Kreditkartennummer zu gelangen.

Hier erwies sich Amazon als hilfreich. Der Angreifer rief beim Onlinehändler an, gab sich als Mat Honan aus und erklärte, eine weitere Kreditkarte hinzufügen zu wollen. Er musste dafür nur das Konto, eine verbundene E-Mail-Adresse sowie die Rechnungsadresse angeben. Nach der telefonischen Eintragung dieser Nummer rief er erneut an und gab an, sein Passwort vergessen zu haben. Nunmehr half ihm die von ihm selbst hinzugefügte Kreditkartennummer, um eine E-Mail-Adresse hinzufügen zu können und ein neues Passwort an diese neue Adresse senden zu lassen.

Damit konnte er bei Amazon.com einloggen und alle mit Honans Konto verbundenen Kreditkarten einsehen, wenn auch nur die jeweils letzten vier Ziffern. Diese aber genügten ihm wiederum bei AppleCare, um sich dort erfolgreich als Mat Honan ausgeben zu können. Die sich perfekt ergänzenden Sicherheitslücken bei Amazon und Apple lösten so eine digitale Kettenreaktion aus.

Honan räumt immer wieder eigene schwere Fehler ein, insbesondere die Verkettung verschiedener Dienste. Den Hack aber hätte er selbst mit dem sichersten Passwort nicht verhindern können. Zu Recht weist er darauf hin, dass Millionen Amerikaner ihre Kreditkartennummern alltäglich preisgeben, beispielsweise bei der telefonischen Bestellung von Pizzas. Namen wiederum lassen sich über das Web einfach mit den zugehörigen E-Mail-Adressen und Postadressen verbinden.

“Aber was mir geschah, enthüllt wesentliche Sicherheitsprobleme in verschiedenen Kundendienstsystemen, vor allem bei Apple und Amazon”, schreibt Honan. Er bedauert inzwischen auch sehr, nicht die für Gmail angebotene Zwei-Stufen-Authentifizierung (Bestätigung in zwei Schritten) genutzt zu haben. Dabei ist zur Anmeldung neben Benutzername und Passwort ein zusätzlicher Code erforderlich, der an ein Mobiltelefon übermittelt wird. Google-Manager Matt Cutts nahm Honans Erfahrungen inzwischen zum Anlass für einen flammenden Aufruf, diese weitere Sicherheitsebene zu aktivieren.

[mit Material von Steven Musil, News.com]