Apple äußert sich zu gehackten iCloud-Accounts: Phishing-Opfer, auf China beschränkt

Apple hat sich zu den Berichten über gehackte iCloud-Accounts geäußert. In der Stellungnahme heißt es, man entschuldige sich für das daraus entstandene Ungemach, könne aber versichern, dass nur wenige Nutzer betroffen sind. Es handelt sich auch nicht um eine Sicherheitslücke in iCloud, über die Angreifer an Nutzer-Daten gelangen konnten, stattdessen fielen die Anwender auf geschickt konzipierte Phishing-Versuche herein. Apple erwähnt zudem, dass alle geschädigten Nutzer darauf verzichtet hatten, Zwei-Faktor-Authentifizierung zu aktivieren und aus diesem Grund angreifbar waren. Dies machten sich die Hacker zunutze und entführten nicht nur den Account, sondern führten auch Transaktionen über Messenger-Bezahldienste der Anwender durch.


2FA aktivieren ist essenziell
Apple betont noch einmal eindringlich, wie wichtig es ist, den eigenen Account durch Zwei-Faktor-Authentifizierung zu schützen. Es wäre in diesem Fall nicht möglich gewesen, mit den via Phishing erbeuteten Nutzerdaten derlei Schaden anzurichten. Unbekannt bliebt, wie viele Accounts entführt wurden und wie hoch der finanzielle Schaden ausfiel.

Ohne vertrauenswürdiges Gerät geht nichts
Im Gegensatz zu normaler Anmeldung via Nutzername und Passwort setzt Zwei-Faktor-Authentifizierung auf einen weiteren Schritt. Es müsste dem Hacker dann ein weiteres, vertrauenswürdiges Gerät vorliegen, über welches der Login bestätigt wird. Apple drängt Nutzer zwar seit einer geraumen Weile zur Nutzung dieser Login-Weise, allerdings gibt es noch eine große Zahl derer, die keine Umstellung vorgenommen haben.


Login auf einem vertrauenswürdigen Gerät

Der oben eingefügte Screenshot zeigt das Verhalten beim Login auf einem vertrauenswürdigen Gerät. Wären die Accountdaten jedoch auf einem anderen Mac oder PC eingegeben worden, hätte der Login nicht funktioniert – außer natürlich, der Angreifer erbeutet neben den Accountdaten auch noch das iPhone des Nutzers. Konfigurieren lässt sich das Verhalten unter iCloud.com in den Account-Einstellungen ("Apple ID verwalten", anschließend erneut die Login-Daten eingeben, danach 2FA aktivieren).

Kommentare

marco m.
marco m.16.10.18 17:16
Und wer es jetzt immer noch nicht begriffen hat, dem ist eh nicht mehr zu helfen. Da zeigt auch die Hundertste Meldung keine Wirkung.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
+6
My2Cent16.10.18 17:42
Habe für meinen Apple Account schon länger die ZFA eingerichtet und zwar zu mehreren meiner Geräte.
Zum Senden einer Service-Mail an den Apple Support von meinem Mac aus wurde heute wieder mal die ZFA angefordert.
Der Key zur Authentifizierung wurde von Apple aber dummerweise
an den selben Mac gesandt, von dem aus die ZFA verlangt wurde.
So wurde der Sicherheitsgewinn der ZFA ad absurdum geführt.
-11
MacTaipan16.10.18 17:54
Schade, dass die Allgemeinheit zu dumm ist, um zu verstehen, dass das nicht Apples Schuld ist. Aber wenn sie das nicht wäre, wäre es ja auch gar nicht erst passiert...
0
Dom Juan16.10.18 17:56
Eben. Von Deinem Mac aus. Hättest Du Dich im Browser eines anderen Rechners verbunden und auf selbigem wäre das Fenster erschienen, dann wäre der Wurm im System. Nicht aber in der von Dir beschriebenen Situation.
+8
rene204
rene20416.10.18 18:04
My2Cent
Der Key zur Authentifizierung wurde von Apple aber dummerweise
an den selben Mac gesandt, von dem aus die ZFA verlangt wurde...
So wurde der Sicherheitsgewinn der ZFA ad absurdum geführt.
Eben NICHT. Der Code wird an alle vertrauenswürdigen Geräte gesandt.
Meldet sich jemand von einem ANDEREN Gerät mit Deinen Logindaten an, bekommst DU einen Code, den DU nicht angefordert hast und kannst ggf. den Account sperren.

Genau so wird ein Schuh daraus.
+12
yogimo17.10.18 05:43
Es ist immer wieder erstaunlich wie einfach Menschen ihre Passwörter gestalten.

Gerade in Chine erlebe ich es oft, dass Menschen noch im Laden alles einrichten, bzw einrichten lassen und das Passwort ganz offen mit den Verkäufern teilen.
Wieviele von Euch benutzen eine Mischung aus Geburtstagen und Namen als Passwort?

Dafür muss sich Apple nun entschuldigen - eigentlich verkehrte Welt...
+3
dr3do
dr3do18.10.18 08:52
"Es müsste dem Hacker dann ein weiteres, vertrauenswürdiges Gerät vorliegen,"
das Problem ist, zumindest bei meinen Geräten: Ich bekomme die 2FA immer auf alle Geräte, auch auf das Gerät, an welchen ich mich zum Zeitpunkt anmelde.
0
Dom Juan18.10.18 09:10
Nochmal für alle.
Es geht bei der 2FA um die Verbindung von Fremdgerägten aus. Setzt euch mal vor den Rechner eines Freundes und verbindet euch da mit iCloud.com. Da erscheint kein Popup auf diesem Rechner, nur auf euren Geräten. Und genau darum geht es. Dass ein böswilliger Unbekannte sich nicht einfach so von seinem Rechner aus mit eurem Account verbinden kann.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen