Montag, 22. Juli 2013

Nach eigenen Angaben hat Sicherheitsexperte Ibrahim Balic die Sicherheitslücke in der Developer Connection aufgespürt und Apple gemeldet. Anschließend hat er dann in einem Versuch getestet, wie tief er in die Datenbank einbrechen kann. Nach eigenen Angaben war über die Sicherheitslücke nur der Zugriff auf Namen und E-Mail-Adressen möglich. Dabei hat er aber unter anderem auch festgestellt, dass nicht nur der Zugriff auf Entwicklerkonten möglich war, sondern auch auf normale Kundenkonten. In seinen Versuchen konnte er mehr als 100.000 Namen und E-Mail-Adressen abgreifen, will die Daten aber wieder löschen und nicht in irgendeiner Art missbrauchen. Die Datenerfassung dient seinen Angaben nur der Erforschung der Sicherheitslücke. Unterdessen hatte Apple bereits eine vollständige Überarbeitung der Developer Connection angekündigt. Ob Apple in diesem Zusammenhang auch Entwickler-Konten und normale Konten trennen wird, ist nicht bekannt.

0
0
28

Kommentare

ExMacRabbitPro
ExMacRabbitPro22.07.13 10:06
Ich finde es immer interessant, dass solche "Sicherheitsexperten" die ja "nur die Lückte austesten und demonstrieren" wollen dann aber immer gleich zehntausende Datensätze abgreifen....
"Every Gun That Is Made, Every Warship Launched, Every Rocket Fired, Signifies - In The Final Sense - A THEFT From Those Who Hunger And Are Not Fed, Those Who Are Cold And Are Not Clothed." - Dwight D. Eisenhower.
Assassin22.07.13 10:09
Soso, ein Sicherheitsexperte, der einfach mal so in das System einbricht, weil es er kann und dann melden möchte. Und? Ist trotzdem Einbruch, oder?
Wenn ich bei meinen Nachbarn die Tür aufhebel und die Wohnung durchsuche, ein paar Sachen mitnehme und das denen danach sage, ist es trotzdem Einbruch.
Aber dient ja nur der Erforschung.

Selten arrogantes Verhalten.
quiddemanie22.07.13 10:12
wenn er keine datensätze runterlädt, dann wird den entsprechenden leuten doch gar nicht klar wie groß die sicherheitslücke ist. oder hätte apple in dem fall die geschichte dicht gemacht? glaubt ihr doch selbst nicht.
BudSpencer22.07.13 10:14
Assassin
Soso, ein Sicherheitsexperte, der einfach mal so in das System einbricht, weil es er kann und dann melden möchte. Und? Ist trotzdem Einbruch, oder?
Wenn ich bei meinen Nachbarn die Tür aufhebel und die Wohnung durchsuche, ein paar Sachen mitnehme und das denen danach sage, ist es trotzdem Einbruch.
Aber dient ja nur der Erforschung.

Selten arrogantes Verhalten.


Genau, du vergleichst ein Virtuelles Gut das Millionfach kopierbar ist ohne dass das Original verschwindet. Gut dann brichst du bei deinem Nachbarn ein und klaust ihm Wasser.

Desweitern hinkt dein Beispiel, richtig wäre eher so.
Du sagst deinen Nachbarn dass bereits durch einen leichten Druck, seine Terrassentüre aufspringt (er schüttelt unglaubwürdig den Kopf) und du beweist es Ihm.
Dekator
Dekator22.07.13 10:19
Der Herr hat allen Apple-Usern einen großen Gefallen getan! Ich finde es super-arrogant, ihn dafür auch noch anzufeinden. Er hat, wie mein Vorredner schon bemerkt, den üblichen Nachweis für eine Sicherheitslücke gegeben. Wenn ich auf eine unabgeschlossene Tür verweise, dann öffne ich sie auch, tststs. Zudem macht Herr Baliç natürlich auch ein bisschen Reklame in eigener Sache. Azerbaidjan gilt ja zudem schon lange als Hochburg von Agententätigkeit... wer weiß, vielleicht findet er ja einen Job. Immerhin, und das ist wichtig, hat er alles gemeldet und offengelegt. Da gibt's nur wirklich nichts zu meckern (eigentlich). Aferin!
Eventus
Eventus22.07.13 10:21
Obwohl er sich jetzt fast wie ein Wohltäter präsentiert (und bewirbt), finde ich daran nichts Schlimmes. Wenn er nur einen netten Hinweis an Apple gemailt hätte, wäre dem kaum nachgegangen worden und er hätte wohl bestenfalls ein Standard-Danke-Mail erhalten.
Live long and prosper! 🖖
wolf121022.07.13 10:27
Assassin
ExMacRabbitPro

also mal ganz ehrlich: eure gespielte Empörung kann ich nur schwer nachvollziehen!
wenn jemand eine Wohnung oder ein Haus oder eine Firma testen will ob sie einbruchssicher ist,guck er/sie ja nicht einfach nur durchs Fenster und guckt mal eben...
Man muss - und das in bester Absicht (und da unterscheidet sich der angegebene Herr von tatsächlichen Einbrechern) ja auch gucken wie angreifbar die angebliche Sicherheit wirklich ist.
Ansonsten solltet ihr nicht soviel meckern sondern ihm lieber auf sein Paypal-Konto (so denn vorhanden) noch etwas spenden dafür dass er Apple sicherer gemacht hat.
Da sollte mann schon Unterscheiden können
stefan22.07.13 10:38
wolf1210
Man muss - und das in bester Absicht (und da unterscheidet sich der angegebene Herr von tatsächlichen Einbrechern) ja auch gucken wie angreifbar die angebliche Sicherheit wirklich ist.
Du scheinst ihn ja persönlich zu kennen, oder woher weisst du das mit "bester Absicht"? Das muss man mir erst einmal beweisen.
Wenn ich wissen möchte, wie angreifbar etwas von mir ist, dann beauftrage ich jemanden und warte nicht, bis ein selbsternannter "Sicherheitsexperte" einen Einbruchsversuch unternimmt.
Ansonsten solltet ihr nicht soviel meckern sondern ihm lieber auf sein Paypal-Konto (so denn vorhanden) noch etwas spenden dafür dass er Apple sicherer gemacht hat.
So ein Schwachsinn. Wenn das Schule macht, gibt es überall nur noch welche, die versuchen, irgendwo einzudringen und dann die Hand aufhalten, wiel sie ja doch nur auf die Lücken aufmerksam gemacht hätten.
Spatenheimer2
Spatenheimer222.07.13 10:42
Der Typ hat bestimmt finstere Pläne. Deswegen geht er damit auch an die Öffentlichkeit.
No dynamite, chainsaws or shotguns.
PaulMuadDib22.07.13 10:43
Weiß zufälligerweise jemand, ob von diesem Problem auch die Aktivierungsserver für iOS-Geräte betroffen sind? Versuche hier grad ein 3GS zu aktivieren. Da kommt aber eine Meldung, daß es zur Zeit nicht ginge. Jedoch kann das allerdings auch am Telefon selbst liegen. Lässt schlecht überprüfen.
wolf121022.07.13 10:56
stefan
junge junge,was hälst denn du davon Leute mit einer anderen Meinung mal zu tolerieren und nicht einfach immer nur mit deinem Standart-Spruch (hab mir mal deine ganzen Thread-Beiträge angesehen) "-so ein Schwachsinn-"
zu kommen!
Schliesslich leben wir zum Glück in einer Demokratie in der die Meinungsvielfalt ein hohes Gut ist - oder hast du da gefehlt in der Schule ?
Hackbreaker22.07.13 11:16
wolf1210:
Sätze wie
wolf1210
oder hast du da gefehlt in der Schule ?
sind aber auch nicht gerade ein flammendes Statement für Toleranz und Meinungsvielfalt.

BTT: Denke auch, Apple und seine User sollten ihm eher dankbar sein.
stefan
Wenn ich wissen möchte, wie angreifbar etwas von mir ist, dann beauftrage ich jemanden und warte nicht, bis ein selbsternannter "Sicherheitsexperte" einen Einbruchsversuch unternimmt.
Der "Einbruchsversuch eines selbsternannten Sicherheitsexperten" hat ja aber scheinbar wunderbar geklappt. Und wenn er das dann auch so an die Firma weitergibt, sorgt es sicherlich für mehr "Wachrütteln" als ein bezahlter "Sicherheitsexperte", der für Kohle behauptet, alles sei bestens, um für ein ruhiges Gewissen zu sorgen.
o.wunder
o.wunder22.07.13 11:16
Na da hat Apple und ihre Kunden ja noch einmal Schwein gehabt.

Besser so als ein bösartiger Angriff.

Ob das ohne vorherige Abstimmung legal ist, steht auf einem anderen Blatt.
aa22.07.13 11:21
Spatenheimer2
Der Typ hat bestimmt finstere Pläne. Deswegen geht er damit auch an die Öffentlichkeit.
Eben.

Man sollte sich darüber im klaren sein, daß diejenigen, die Sicherheitslöcher offenbaren und auf die dann anschliessend immer herumgehackt wird, mit hoher wahrscheinlichkeit NICHT die einzigen sind, die diesen konkreten Hack machen konnten. Anstatt denen also einen Strick daraus zu drehen, sollte man denen dankbar sein, daß diese nutzbare und eventuell sogar schon genutzte Lücke geschlossen werden kann. Vor den Unbekannten, die unbekannterweise die Lücke nutzen, solltet ihr euch fürchten. Das ist aber zu diffus und man müsste dann wohl in die totale Paranoia verfallen - also streckt man dann enen den Überbringer der schlechten Nachricht.
Alto
Alto22.07.13 11:25
Der Alltag eines jeden #Sec Menschen. Er hatte halt das Glück, die Lücke zu finden.
Ich pers. hätte nicht meinen Klarnamen ins Video gepostet.

Seit doch froh, dass die Lücke aus der Welt ist. Daten abgreifen um zu schauen wie tief man ins System kommt ist normal. Evtl. ist er aber jetzt all seine HDDs los
bwspeakers
bwspeakers22.07.13 11:39
Kann man eigentlich auch jemanden anschießen, um zu beweisen, dass er angreifbar ist?

Klar kann man!

Es gibt aber Gesetze, Ethik und Moral, die soetwas in den allermeisten Fällen verbieten.

"Hacken" ist aber zur Zeit "en vogue".
Außerdem ist das für die meisten Moralwächter alles #Neuland - und wird deshalb kaum geächtet.

Wirf doch mal ein Kind vom Fahrrad, um zu zeigen, dass der billige Fahrradhelm nicht sicher ist.
Huiii - was dann wohl los ist!
Falsch: "Geht nicht" - Richtig: "Geht SO nicht"!
Spatenheimer2
Spatenheimer222.07.13 11:46
bwspeakers
Kann man eigentlich auch jemanden anschießen, um zu beweisen, dass er angreifbar ist?

Wirf doch mal ein Kind vom Fahrrad, um zu zeigen, dass der billige Fahrradhelm nicht sicher ist.
Huiii - was dann wohl los ist!

Deine Vergleiche gehen nicht weit genug. Man muss das Vorgehen dieses Menschen schon mit dem Holocaust gleichsetzen, um auf die Brisanz seines Handelns hinzuweisen.

Daher: Datensätze aus der ADC abgreifen = Hitler!
No dynamite, chainsaws or shotguns.
Eventus
Eventus22.07.13 12:00
Apple soll ihm einen Mac schenken.
Live long and prosper! 🖖
Gerhard Uhlhorn22.07.13 12:03
Spatenheimer2: Das war doch wohl hoffentlich ironisch gemeint, oder?
Eventus
Eventus22.07.13 12:10
Gerhard Uhlhorn
Spatenheimer2: Das war doch wohl hoffentlich ironisch gemeint, oder?
Neiiin, Rose…
Live long and prosper! 🖖
Hackbreaker22.07.13 12:11
Gerhard Uhlhorn
Spatenheimer2: Das war doch wohl hoffentlich ironisch gemeint, oder?

NEIN bestiiiimmmt niiicht!


bwspeakers
Kann man eigentlich auch jemanden anschießen, um zu beweisen, dass er angreifbar ist?

Wirf doch mal ein Kind vom Fahrrad, um zu zeigen, dass der billige Fahrradhelm nicht sicher ist.
Huiii - was dann wohl los ist!

Ernsthaft, die Vergleiche sind auch in meinen Augen falsch. Richtig wäre denke ich folgender Vergleich: Man wirft einen Crash-Dummy mit Fahrradhelm vom Rad, der Helm geht kaputt, man dokumentiert dies und präsentiert es dem Helm-Hersteller und der Öffentlichkeit.

P.S.: Und bekommt man dann vom Helm-Hersteller diffamierendes Verhalten vorgeworfen, so weiß die Öffentlichkeit zumindest, worum es dem Helm-Hersteller in Wirklichkeit geht.
Semmelrocc22.07.13 13:05
Wie wäre es mit diesem Vergleich? Jemand hebelt das Sicherheitssystem einer Bank aus und verschafft sich Zutritt zu den Geschäftsräumen. Anschließend veröffentlicht er die Aktion und meinetwegen Kopien von Kundenakten oder was weiß ich. Ich würde mal sagen, das ist nicht ok und wird zurecht strafrechtlich verfolgt.
Nur weil man theoretisch Zugriff auf einen Server am anderen Ende der Welt hat, bleibt es doch immer noch strafbar, sich diesen Zugriff zu verschaffen, oder?
smuehli
smuehli22.07.13 13:18
Das ist mal wieder typisch für Etliche hier:

Häme und Spott als vor ca. 2 Jahren Sony gehackt wurde!
Aber ein riesengroßer Aufschrei wenn Apple gehackt wird . . . .
zod198822.07.13 14:21
Da sollte jemand schnellstmöglich einen Job angeboten bekommen.
chicken22.07.13 14:45
Find es nicht schlimm das er dort "eingebrochen" ist, denn das hilft am Ende allen. Was mir jedoch zu denken gibt: wozu Bedarf es so vieler Daten wenn der "Gutmensch" eigentlich ja nur den Beleg bringen wollte das es ihm möglich war?!

Muss man da gleich x tausend Datensätze abziehen und nachher sagen ich lösche die bestimmt wieder ?!
AppleUser201222.07.13 16:33
Er hat die Sicherheitslücke erst dann ausgenutzt, nachdem er Apple schon informiert hat...
Und ja, eine Sicherheitslücke ist erst dann bestätigt, wenn man sie auch ausgenutzt hat...
Und verständlich auch, daß man wissen möchte wie weit dies Lücke Türen öffnet zu Datensätzen...und in aktuellen Fall, waren es ja nur E-Mail Adressen und Namen, aber keine Passwörter....

Und ich schliesse mich an... Bei Sony herumzupöbeln und auszulachen... Aber das Apple soetwas auch passieren könnte... Und man stelle sich mal vor, wenn die Lücken dann soweit gehen, daß Kreditkarteninfos usw abgezogen werden könnten... von jemanden, der ganz andere Interessen hat...

Da ist mir sowas lieber, als (Apple ist Meister im Verschweigen) nach 4-8 Wochen zu erfahren, daß es einen großen Hack gab und man alles resetten muss und möglicherweise als Betroffener dann noch die Kreditkarte sperren muss....
Waldi
Waldi22.07.13 19:30
Nun ist das Video privat!
Die ganze Aufregung der Skeptiker war also zutreffend!
AppleUser201222.07.13 20:43
Ich nehme mal an Apple hat ihn angwiesen, von jeglicher Veröffentlichung abzusehn, um das intern zu regeln...

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

Mein erstes Apple Produkt war ein...

  • Desktop-Mac (PPC oder Intel)29,6%
  • Apple-Notebook (PPC oder Intel)18,6%
  • Klassischer Macintosh (68k)23,9%
  • Apple-Notebook/Portable (68k)2,7%
  • iPod14,5%
  • iPhone4,3%
  • iPad0,2%
  • Apple Watch0,0%
  • Andere Apple-Peripherie (Drucker, Webcam, Maus, Tastatur etc.)0,2%
  • Apple I/II, Lisa5,0%
  • Sonstiges1,1%
1238 Stimmen17.08.15 - 03.09.15
0