Hacker-Angriff auf Journalist: Schwachstellen im Apple- und Amazon-Support

Florian Matthey

Ein IT-Journalist wurde Opfer eines Hacking-Angriffs – und könnte dadurch viele wertvolle Daten verloren haben. In einem ausführlichen Artikel erklärt er, wie die Hacker sich seines Amazon-, iCloud- und Gmail-Accounts bedienten. Die Geschichte zeigt einige Schwachstellen in den Sicherheitssystemen der Unternehmen auf.

Hacker-Angriff auf Journalist: Schwachstellen im Apple- und Amazon-Support

Das Ziel der Hacker: Der attraktive Twitter-Account

Die Hacker sicherten sich die Kontrolle über den iCloud- und den Gmail-Account des IT-Journalisten Mat Honan, um dann seinen Twitter-Account zu übernehmen. Wie Honan später – einer der Hacker setzte sich mit ihm in Verbindung – herausfand, hatten es die Angreifer die ganze Zeit auf den Twitter-Account abgesehen: Dieser besteht nur aus drei Zeichen (“@mat”), ist also ein besonders attraktives Ziel.

Laut eigenen Angaben wollten die Hacker so auf Sicherheitslücken aufmerksam machen, damit sich Menschen besser vor Angriffen schützen. Warum sie dann über Honans Twitter-Account homophobe und rassistische Nachrichten verbreiten mussten, erklärt sich dadurch nicht.

Die größte Tragödie für Honan war aber, dass sie über die “Mein iPhone/mein iPad/meinen Mac finden”-Funktion des iCloud-Accounts sämtliche Daten auf dem iPhone, iPad und MacBook Air des Journalisten löschten. Sollte er die Daten nicht wiederherstellen können, hätte er so viele Bilder aus dem ersten Jahr seiner Tochter und von mittlerweile verstorbenen Angehörigen verloren.

Hacker tricksten Kundendienste von Amazon und Apple aus

Honan hätte sich besser schützen können – beispielsweise, indem er so wichtige Accounts wie seinen Gmail- und iCloud-Account nicht miteinander verbindet, Backups anlegt oder bei Gmail eine zweistufige Sicherheitsabfrage einrichtet. Auch hätte er seine E-Mail-Adressen nicht alle gleich aussehen lassen sollen – also mhonan@gmail.com, mhonan@me.com, mhonan@wired.com. Vorwürfe lassen sich aber gerade auch an Apple und Amazon richten.

Einer der Hacker hatte einfach bei Apple angerufen und sich als Honan ausgegeben, um dann die Kontrolle über den iCloud-Account zu erlangen. Vom Gmail aus ließ er sich dann eine Mail fürs Zurücksetzen des Gmail-Passworts an die me.com-Adresse schicken, so dass er die Kontrolle über Honans Gmail-Account und über diesen über den Twitter-Account bekam. Damit Honan sich nicht mehr “wehren” konnte, löschten die Hacker zur Sicherheit die Daten auf allen seinen Apple-Geräten.

An die Daten waren sie wie folgt gekommen: Sie schauten sich den Twitter-Account an und gelangten über diesen auf Honans Website, auf die sein Twitter-Account verlinkte. Dort fanden sie seine Gmail-Adresse. Dann wählten sie die “Passwort vergessen”-Funktion von Gmail, die ihnen mitteilte, dass das System eine Mail zum Zurücksetzen des Passworts an “m****n@me.com” schicken würde. So war klar, dass die Adresse “mhonan@me.com” lautet.

Im Anschluss nahmen die Hacker eine “whois”-Abfrage für die Domain von Honans Website vor, um an seine Hausadresse zu gelangen. Das Ganze wäre bei anderen beispielsweise auch übers Telefonbuch möglich gewesen. Im Anschluss riefen die Hacker bei Amazon an, gaben sich als Mat Honan aus und erklärten, dass sie dem Account eine neue Kreditkarte hinzufügen wollen. Zusammen mit der hinterlegten E-Mail-Adresse und Rechnungsnummer war das kein Problem, die Kreditkartennummer war eine gefälschte, die die Hacker über einschlägige Tools generiert hatten.

Dann riefen die Hacker nochmal bei Amazon an und teilten dem Kundendienst mit, dass sie sich nicht mehr einloggen können. Amazon fragt zur Verifizierung nach der hinterlegten Kreditkartennummer, der E-Mail-Adresse und der Postadresse. Amazon erlaubt dem mutmaßlich “ausgesperrten” Benutzer dann, eine neue E-Mail-Adresse zu hinterlegen. Über diese konnten sich die Hacker dann einloggen und fanden bei Amazon zwei registrierte Kreditkarten – Honans und die gefälschte -, von denen Amazon die letzten vier Ziffern anzeigte.

Mit dieser Information konnten die Hacker schließlich Apples Kundendienst anrufen und diesem mitteilen, dass sie ihr iCloud-Passwort vergessen haben. Apple fragt zur Sicherheit nach der Rechnungsadresse und den letzten vier Ziffern der hinterlegten Kreditkarte. Da die Hacker über alle diese Informationen verfügten, war das Einloggen dann kein Problem mehr.

Prozess lässt sich einfach nachahmen

Honan und seine Kollegen bei Wired haben diesen ganzen Prozess zweimal selbst ausprobiert und konnten so zweimal die Kontrolle über einen iCloud-Account bekommen. Auf Nachfrage erklärte Apple, dass das Unternehmen die Sicherheit seiner Kunden schätze und mehrere Schritte zur Verifizierung durchführe. In Honans Fall habe ein Angreifer dessen persönliche Daten erhalten, auch habe der Apple-Mitarbeiter nicht alle internen Regeln befolgt. Zuvor hatte ein anderer Mitarbeiter Honan aber bestätigt, dass Apple immer nur nach der Adresse und den vier letzten Ziffern der Kreditkarte frage.

Honan gesteht mehrmals ein, dass er selbst dumme Fehler gemacht habe. Allerdings sei die Frage berechtigt, ob Apples und Amazons Verifizierungssysteme nicht bedenkliche Schwachstellen haben – vor allem im Zusammenspiel. Auch meint er mittlerweile, dass er die “Meinen Mac finden”-Funktion nie hätte aktivieren dürfen. Die Funktion sei für Smartphones sinnvoll, bei einem Computer sei die Gefahr, dass ein Fernzugriff Schaden anrichte, aber meist größer als dass jemand das Gerät selbst in die Hände bekommt.

Sicherheitsrisiko “Meinen Mac finden”

Auch habe die Löschfunktion über iCloud einige Schwachstellen in der Umsetzung: Wer die Löschung eines Macs anordnet, muss zuvor einen vierstelligen PIN festlegen. Durch die Eingabe dieses Codes auf dem Mac lässt sich der Löschvorgang abbrechen. Wenn jemand Fremdes den Löschvorgang initiiert, verbleibt so keine Möglichkeit für den rechtmäßigen Besitzer, den Angriff abzuwehren.

Honan wünscht sich von Apple, dass das Unternehmen beim Aktivieren von “Meinen Mac findet” die Möglichkeit gibt, einen weiteren Verifizierungsvorgang einzurichten, so dass jemand, der den iCloud-Account kontrolliert, nicht einfach alle Daten löschen kann, ohne weitere Informationen zu haben. Apple wollte ihm auf Nachfrage aber nicht mitteilen, ob ein solcher weiterer Schritt in Planung sei.

Weitere Themen: Amazon

Neue Artikel von GIGA APPLE

GIGA Marktplatz