Der Fall des Wired-Redakteurs Mat Honan sorgte vergangene Woche für Aufregung. Der Journalist wurde Opfer einer Hackergruppe, die auf relativ einfachen Wegen nahezu sein gesamtes digitales Leben auslöschen konnten und rassistische Äußerungen über seinen Twitter-Account verbreiteten. Dabei schockierte vor allem, dass Apples Telefonsupport den Angreifern Zugriff auf Honans iCloud-Account gewährte, über den sie sowohl Macbook, iPad als auch iPhone zurücksetzen konnten.

Verhaltene Reaktion von Apple

Mittlerweile hat Apple reagiert und den Account-Zugriff über den Telefonsupport vorübergehend ausgesetzt. Wired überprüfte anonym diese Maßnahmen und erhielt tatsächlich von einem Apple-Mitarbeiter die Auskunft, dass "die Systeme derzeit gewartet werden" und daher das Zurücksetzen nur über das Webinterface möglich sei. Die Hacker konnten mit relativ wenigen Auskünften Zugriff auf den iCloud-Dienst erhalten, da lediglich die E-Mail-Adrese, die letzten vier Zahlen der Kreditkarte sowie die Rechnungsadresse zum Ändern des Passworts nötig waren. Diese Daten hatten die Angreifer aus dem zuvor gekaperten Amazon-Account erfahren.

Empfehlung Two-Step-Verification

Auch Amazon hatte ein massive Lücke, die über den Telefonsupport genutzt werden konnte. So benötigte man lediglich Rechnungsadresse, Name sowie E-Mail-Adresse um die E-Mail-Adresse des Accounts zu ändern oder eine weitere Kreditkarte hinzuzufügen. Laut Ars Technica habe Amazon diese Lücke aber mittlerweile wieder geschlossen. Einzig Apple hat bis auf den vorübergehenden Auskunftsstopp noch keine Änderungen vorgenommen. Doch Honan kritisiert sich auch selbst massiv in seinem Artikel, in dem er die Hacks ausführlich beschreibt. Darin empfiehlt er jedem Nutzer von Google und Facebook die Two-Step-Verification zu nutzen, durch die für ein Login zuvor ein Token generiert werden muss, das per SMS oder App zugesandt wird. Dadurch wird es Angreifern deutlich erschwert, Passwörter zu missbrauchen.