Apple nimmt Stellung zum iCloud-Datendiebstahl: Gezielter Angriff auf Nutzernamen und Passwörter

Zahlreiche Schauspielerinnen und Sängerinnen mussten gestern feststellen, dass sehr persönliche und intime Fotos die Runde durchs Internet machten. Sehr schnell wurde deutlich: Auf irgendeinem Weg wurden die Fotos wohl vom iCloud-Account der Betroffenen entwendet. Apple hat jetzt detailliert zur Angelegenheit Stellung genommen und den Stand der Untersuchungen verkündet.

Als der Datendiebstahl bekannt wurde, habe man sofort eigene Fachleute damit beauftragt, den Grund in Erfahrung zu bringen. Nach mehr als 40 Stunden Ermittlungen lasse sich jetzt sagen, dass es sich um einen sehr gezielten Angriff auf die Nutzernamen, Passwörter und Sicherheitsfragen gehandelt habe - eine Praxis, die heutzutage leider sehr häufig vorkomme. Bei keinem der Fälle gebe es jedoch Hinweise, dass in Apples iCloud-System oder in „Find my iPhone“ eingebrochen wurde. Zusammen mit der Polizei arbeite man nun weiter daran, die Kriminellen zu identifizieren.

Apple widerspricht damit implizit Berichten, wonach eine Sicherheitslücke im Dienst „Find my iPhone“ für den Datendiebstahl verantwortlich war. Allerdings gab es dort tatsächlich eine Lücke, die Apple erst gestern geschlossen hatte. Über "Find my iPhone" war es möglich, beliebig viele Passwörter zu raten, ohne dass Apple nach mehrfacher Falscheingabe irgendeine Sperre schaltete. Über ein bestimmtes Tool konnten Angreifer so beliebig oft Passwörter raten lassen, bis irgendwann das richtige bekannt wurde.

Apple betont, dass es ein Angriff auf Nutzer und nicht auf das System war - dies ist richtig, aber in gewisser Weise zugleich auch falsch. Passwörter zu raten ist natürlich kein Ausnutzen einer Sicherheitslücke, allerdings wurde es den Angreifern allzu einfach gemacht, die Passwörter zu erlangen - dies sowohl durch die schwache bzw. fehlende Sperre in Find my iPhone als auch durch zu unsichere Passwörter. Einen Tipp hält Apple erneut parat, den man auf jeden Fall beherzigen sollte: Sichere Passwörter erstellen und Zwei-Faktor-Authentifizierung nutzen. Damit wären die Bilder wahrscheinlich nicht in die Öffentlichkeit gelangt.

Weiterführende Links:

Kommentare

Cupertimo02.09.14 22:09
Oder solch intime Bilder nicht auf 'ne Cloud laden
Gabi, blond, 13
Gabi, blond, 1302.09.14 22:11
Meine nudepics habe ich nie in der Cloud. Die bleiben auf dem iPhone und werden regelmäßig gelöscht. Und dann natürlich neue geschossen!
Als Promi sowas in die cloud zu laden ist schon gewaltig unclever.
nowMAC02.09.14 22:13
Mit einem besseren Passwort und der Zwei-Faktor-Authentifizierung hätten die Geschädigten zwei Möglichkeiten gehabt sich gegen solche Art Angriffen zu schützen. Auf absolute Unverständnis trifft es allerdings bei mir, da es sich speziell um Prominente gehandelt hat und damit um Personen die sich auch in anderen Bereichen besser schützen müssen und sich nicht leisten können nachlässig zu sein.

Im iCloud-System war ein Fehler und das ist Apples Schuld. Dieser Fehler wäre aber nicht halb so gravierend wenn Passwörter und Sicherheitsfunktionen etwas ernster genommen würden.

In diesem Zusammenhang werde ich aber auch im Freundes-, Familien- und Bekanntenkreis nochmal zur Handlung auffordern.
Ne Ne, seit Steve Jobs nicht mehr da ist....
Mia
Mia02.09.14 22:42
nowMAC
In diesem Zusammenhang werde ich aber auch im Freundes-, Familien- und Bekanntenkreis nochmal zur Handlung auffordern.

Es hat die meisten zumindest wachgerüttelt... Vielleicht hätte man wirklich mehr Werbung für die 2F Authentifizierung machen sollen!
Gabi, blond, 13
Gabi, blond, 1302.09.14 23:03
Ich habe fast das gesamte Internet abgesucht: Hat George Clooney keinen iCloud-Account oder hat der besser aufgepasst??
iGod
iGod02.09.14 23:21
Theoretisch könnte es sogar gegen die Nutzungsbestimmungen von iCloud verstoßen solch obszöne Bilder in die Cloud zu laden.
Jede Minderheit hat ein Recht auf Diskriminierung!
kraut02.09.14 23:29
Ist ja klar dass Apple den schwarzen Peter von sich schiebt. Jetzt so kurz vor dem nächsten Event darf man keine Sicherheitslücke eingestehen - vor allem wenn man will dass Nutzer ihre Gesundheitsdaten ebenfalls bitte extern speichern/verarbeiten lassen sollen.
Unabhängig davon ob die Bilder durch die Find my iphone Lücke gestohlen wurden - ein System, dass Bruteforce nicht unterbindet hat ein Sicherheitsleck - Klipp und Klar im Wortsinn. Da muss man nicht über die Definition eines Sicherheitslecks streiten.
Gegenmaßnahmen gehören inzwischen zum Standard und gerade Webservices sind gefährdet. Heise hat durchgerechnet, dass man pro Tag mit einem Tool vom heimischen Rechner 1 Million Passwörter testen kann. Nicht bedacht wurde, dass sich ein Hacker auch einfach ein paar Instanzen bei AWS mieten kann und das ganze deutlich beschleunigen kann.
Meiner Meinung nach einfach ein menschlicher Fehler (wenn auch mit möglicherweise fatalen folgen) - da hat jemand (mehrere) einfach gepennt.
RubberDuck198302.09.14 23:32
Wie läuft das jetzt mit der 2F Auth. ab!?

Ich habe mich für den SMS weg entschieden. Wenn ich jetzt ein refubrished gerät erhalte läuft das damit oder nicht!? Weil da bin ich etwas verwirrt jetzt.

Danke für die Hilfe
sockpuppet
sockpuppet02.09.14 23:37
Ziemlich peinlich fuer Apple! Und natuerlich auch fuer die Betroffenen.
DaKrolli02.09.14 23:42
RubberDuck1983
Wie läuft das jetzt mit der 2F Auth. ab!?

Ich habe mich für den SMS weg entschieden. Wenn ich jetzt ein refubrished gerät erhalte läuft das damit oder nicht!? Weil da bin ich etwas verwirrt jetzt.

Danke für die Hilfe

Das geht doch über ne SMS, also simkarte rein und gut is...
Jordon
Jordon02.09.14 23:48
Apple muss da jetzt wirklich sehr feinfühlig vorgehen.
Ein falscher Satz bzw Aussage Richtung "Selber schuld Passwort war schlecht gewählt" kann mit einer Image und Maketing Katastrophe enden. Die Betroffenen sind keine Menschen wie du und ich. Die haben "Power" und könnten Apple und den am 9.September vorgestellten Produkte ihren Glanz nehmen..
Fehler 11
Fehler 1103.09.14 00:46
PR technisch für Apple so oder so eine KA-TA-STRO-PHE
Aber wie das bei Katastrophen so ist. Da kommen mehre
Faktoren zusammen, die nicht zusammen gehören.

Aber nur weil wir nicht mit Pfeil und Bogen durch den Wald laufen
heisst das nicht, das uns das nicht auch treffen kann. Vielleicht hat
aber schon jemand Fotos von Onkel Heins 60´Geburtstag. Es interessiert
nur die Öffentlichkeit nicht.

Von daher ist es hoffentlich ganz gut was da passiert ist. Es ist natürlich
bitter und erschütternd, das da die Privatsphäre von Personen getroffen
wurde. Auch wenn sie in der Öffentlichkeit stehen und, warum auch immer,
Nacktfotos von sich gemacht haben. Es geht die Öffentlichkeit nichts an.

Vielleicht (hoffentlich) überdenkt der ein oder andere jetzt mal seine Passwörter
und schaut in den Einstellungen, was - wo hochgeladen wird.
Es muss leider erstmal was passieren, bevor sich was ändert.

P.S.
Ich fand die Fotos jetzt nicht soooo geil.
Jordon
Jordon03.09.14 00:47
Wie sich der Imageschaden für die betroffenen SchauspielerInnen und SängerInnnen in Zahlen, sprich Geld, auswirkt, hat man wahrscheinlich noch gar nicht richtig überrissen.

Da werden einige wirklich , aber so wirklich sauer sein..
Dayzd03.09.14 00:50
kraut
Gegenmaßnahmen gehören inzwischen zum Standard und gerade Webservices sind gefährdet. Heise hat durchgerechnet, dass man pro Tag mit einem Tool vom heimischen Rechner 1 Million Passwörter testen kann. Nicht bedacht wurde, dass sich ein Hacker auch einfach ein paar Instanzen bei AWS mieten kann und das ganze deutlich beschleunigen kann.
Es werden ja meist nicht wahrlos von a, aa, aaa, etc. alles ausprobiert, sondern Wortlisten benutzt. Dann braucht man auch kein AWS mehr...
Dem Rest deines Beitrags kann ich nur zustimmen. Apple macht es sich da gerade sehr einfach, was fatale Folgenden haben könnte, denn bei der Aussage seitens Apple, denkt sich jeder: Wieso bin ich jetzt Schuld, dass euer System sowas zulässt?...
Und wie Jordan schon andeutet: Das sind Menschen, die gewisse Macht durch Geld und Kontakte haben. Und es handelt sich dabei och noch um Menschen, die sehr schnell gekränkt und eingeschnappt werden können, wenn man sie derart als Idioten ("selbst schuld") hinstellt. Gerade wenn man Geld zum Scheißen hat, wäre das wirklich Grund genug mal seinen Lieblingsanwalt loszuschicken.

Eigentlich fehlt in der Promi-Reihe noch ein bekannter, amerikanischer Politiker. Dann wäre dort drüber sicher die Hölle los.
Jordon
Jordon03.09.14 00:58
Fehler 11
P.S.
Ich fand die Fotos jetzt nicht soooo geil.

Ja, im Gegenteil, die sind teilweise erschütternd "real"
Das war einfach nicht für die Öffentlichkeit gedacht, wenn mir das passieren würde und sich rausstellt das wirklich Apples lasche Sicherheitsvorkehrung bei "Find my iPhone" Schuld daran war, wüsste ich nicht was ich alles mit Apple anstellen würde.. ich denke da kommt noch Einiges auf Apple zu...
Jordon
Jordon03.09.14 01:07
Dayzd
Eigentlich fehlt in der Promi-Reihe noch ein bekannter, amerikanischer Politiker. Dann wäre dort drüber sicher die Hölle los.

Angeblich wurden die Daten über ein Jahr gesammelt und sie kamen nur an die Öffentlichkeit weil die Hacker selbst gehackt wurden. Das soll angeblich erst der Anfang gewesen sein die Politiker kommen zur passenden Zeit vielleicht noch dran..
Fehler 11
Fehler 1103.09.14 01:13
Jordon
Ja, im Gegenteil, die sind teilweise erschütternd "real"
Das war einfach nicht für die Öffentlichkeit gedacht, wenn mir das passieren würde und sich rausstellt das wirklich Apples lasche Sicherheitsvorkehrung bei "Find my iPhone" Schuld daran war, wüsste ich nicht was ich alles mit Apple anstellen würde.. ich denke da kommt noch Einiges auf Apple zu...

Wahrscheinlich hast du recht. Ich käme nur nur nicht auf die Idee, solche Fotos von mir oder meiner Freundin zu machen. Wahrscheinlich bin ich zu alt/oder zu wenig Narzisst. Vielleicht aber auch aufgrund meiner Berufs- und Lebenserfahrung zu vorsichtig.

Auf jeden Fall wird es jetzt in Cupertino oder wo auch immer ordentlich rappeln, weil das ein Fall ist, den "Tante Gerda und Onkel Heinz" nachvollziehen können. Anders als z.b bei Heartbleed.
@me03.09.14 02:23
Es ist an der Zeit strengere Gesetze gegen Cyberkriminalität auf den Weg zu bringen und Weltweit anzuwenden. Es sind Milliardenschäden die da verursacht werden Jahr für Jahr durch die selbe Vorgehensweise, es wird immer eine Lücke geben, dass ist niemals 100%tig auszuschließen. Es müssten Mindeststrafen von 5 Jahren ohne Bewährung sowie die Vereinnahmung des gesamten Vermögen zur Wiedergutmachung her, vielleicht würde dass etwas helfen. Zur Zeit ist es doch ein Spiel und die Vierenscanner Verkäufer freuen sich auch darüber. Die Todesstrafe hat noch keinen Mord verhindert aber es gibt Straftaten die erheblich zurückgegangen sind weil die Erfolgsaussichten sehr gering sind und die Konsequenzen nicht mehr im Verhältnisse stehen, die ganze Kette vom Hacker bis zum Nutzer der gestohlenen Daten gehören gebrandmarkt und mit aller Härte verfolgt.
Tzunami
Tzunami03.09.14 02:45
Ich sagte es und ich werde es immer sagen: Cloud ist doof!

Und wer seine blank rasierte Mumu Bilder jemandem gibt, den er weder kennt oder weiss wo er die bilder hinbringt, ist auch nicht gerade pfiffig.

Ich drücke do auch nicht dem nächstbesten Typen meine Brieftasche in die Hand, weil er mir vorsingt:

HÖÖÖÖÖÖR auf miiiiiiich, vertraue mir!

https://www.youtube.com/watch?v=zTRT_kjk2dg
ulti
ulti03.09.14 06:45
Mir ist gerade aufgefallen, das ich die Cloud überhaupt nicht brauche ! Meine Fotos kann ich auch etwas später am iMac aktualisieren - Nacktbilder hin, Nacktbilder her...
concorde03.09.14 06:49
Andererseits ... So what?

Zudem, die Promis werden jetzt nur Zulauf haben! PR umsonst wegen ner rasierten Möse. Da haben einige schon anders gemacht, bewusst.

Warum nicht gleich Paparazzi und alle diese Klatschhefte verbieten - das sind die echten Übeltäter und schüren das Interesse um das Privatleben von anderen Menschen. Ich kann es nicht verstehen wie man so ein Interesse aufbringen kann privates Zeug von anderen zu sehen. Habe ja teilweise nicht mal Lust die Urlaubfotos von Bekannten durchzusehen. Es gibt Menschen die es tatsächlich interessiert welcher Fussballspieler welche Frau zu seiner Seite hat - dann noch wir viel mal sie sich treffen - und heute was sie sich auf iMessage zusenden. Wie krank...

Ich bin einverstanden, Privatsphäre gilt zu schützen - finde aber das Auskosten sollte bestraft werden wenn sie durchbrochen wird! Also nieder mit Taff TV, Bunte und Co.
quiddemanie03.09.14 07:42
Glückwunsch an die Intelligenzbestien die sich hier über Jennifer Lawrence lustig machen oder von "Oder so ne Bilder nicht auf die Cloud laden"...

Zeigen euch eure Töchter freiwillig, was für Bilder sie so in der Cloud haben. Mal schauen was ihr sagt wenn die in Umlauf kommen. Aber nein, kann ja gar nicht sein, wer von so vernunftbegabten Menschen erzogen wurde, macht keine wie auch immer gearteten Nacktbilder in keine Cloud, ganz unüblich bei jugendlichen, schon gar kein neuer Trend.
o.wunder
o.wunder03.09.14 07:42
Die Zwei-Faktor-Authentifizierung ist sehr unpraktisch, da einem selbst Apple nicht mehr helfen kann wenn man das Kennwort vergisst.

Der Fehler liegt hier auch klar bei Apple, da man sich beliebig oft und ohne Zeitverzögerung einloggen konnte.

Hey, wo gibt es die Bilder zu sehen?....
mwt6403.09.14 08:03
Wie schalte ich den bei iCloud zwei Faktor Authentifizierung ein ??
Gute Ideen sind die, die andere für verrückt halten! (Max Planck) Good ideas are those which others consider to be crazy!
snowman-x03.09.14 08:09
ich hab noch nicht ein bild gesehen
Grolox03.09.14 08:47
Die Frage die ich mir hierbei stelle ,
warum ausgerechnet kurz vor der
Apple iP6 Präsentation.
Das solche Photos nicht in die Cloud
gehören , auch klar.
Promis !!! selber schuld.

sollte auch o. wunder wissen....
schaff dir eine eigene Cloud an und gut
ist .
Es gibt keine 100%ige Sicherheit ,
auch nicht bei Apple.
barabas03.09.14 08:52
Sorry, aber wer vor lauter Geltungssucht oder was auch immer, sich genötigt fühlt sich zum einem entsprechend leicht bekleidet zu präsentieren und diese Daten dann einem Server irgendwo auf der Welt anvertraut der ist genauso Mitschuld wie jene die solche Systeme etablieren, hohe Sicherheit versprechen wohl wissend das es aber hier nie einen 100%igen Schutz geben kann und wird. Private Daten, haben wie das Wort Privat eigentlich im Grund schon aussagt, auch nur im privaten Umfeld etwas verloren.

Meine Devise laute deshalb nach wie vor, keine Daten in irgendeine Cloud wo diese auf mir unbekannten Severn auf der Welt gespeichert werden und ich im schlimmsten Fall keinen Zugriff mehr darauf habe oder andere womöglich unberechtigt darauf zugreifen könnten. Der beste Schutz für wichtige Daten ist für mich immer noch ein (älterer) Rechner im privaten Bereich ohne Anbindung an das Internet, an ein W-Lan oder sonstige Netze mit entsprechenden Datensicherungen die die eigenen vier Wände nie verlassen.
Dayzd03.09.14 08:55
ulti
Mir ist gerade aufgefallen, das ich die Cloud überhaupt nicht brauche ! Meine Fotos kann ich auch etwas später am iMac aktualisieren - Nacktbilder hin, Nacktbilder her...
Also ich hab "nur" 3G, kein LTE, und dann auch noch begrenzten Volumen. Ich käme nicht mal auf die Idee alle Fotos in die Cloud laden zu wollen. Und die Akkulaufzeit wird dadurch auch noch gesteigert...

o.wunder
Hey, wo gibt es die Bilder zu sehen?....
snowman-x
Die gibt's nicht mehr so einfach zu sehn. Seit sich FBI und so eingeschaltet haben, wurden die entsprechenden Threads auf 4chan und Reddit gelöscht, entweder vom Betreiber oder von denen, dies reingestellt haben.
Also lasst lieber die Finger davon, sonst landet ihr auch noch bei denen auf einer Liste.
7samurai03.09.14 09:17
Ob du deine Nacktbilder in die Cloud setzt, oder nicht, ist egal, dein IPhone Backup ist ja auch in der cloud, und die haben die Häcker heruntergeladen
http://www.wired.com/2014/09/eppb-icloud/?mbid=social_fb
Marcel Bresink03.09.14 09:34
mwt64
Wie schalte ich den bei iCloud zwei Faktor Authentifizierung ein ??

Überhaupt nicht, denn die iCloud ist nicht mit Zwei-Faktor-Authentifizierung geschützt. Das Gerede über diese Technik ist reine Propaganda, um von den wahren Problemen abzulenken.

Mit der Zwei-Faktor-Technik schützt Apple nur Dinge, die den Profit schmälern könnten, nämlich:
- Management der Apple-ID
- Käufe im App Store über ein vorher nicht benutztes Gerät
- Support-Leistungen von Apple, die an eine Apple-ID gebunden sind
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen