Sicherheit
Hacker-Angriff auf die schöne neue Cloud-Welt
von
Thorsten
Eggeling - 07.08.2012
Wer seine Daten ohne zusätzliche Absicherung in der Cloud speichert, kann diese schnell verlieren. Das musste ein Journalist schmerzlich erfahren, der seine Daten durch einen Hacker-Angriff verlor.
„Innerhalb einer Stunde wurde mein gesamtes digitales Leben zerstört“. Mit diesen dramatischen Worten beginnt der Wired-Journalist Mat Honan seinen Artikel How Apple and Amazon Security Flaws Led to My Epic Hacking. Die Angreifer mussten jedoch keine Datenbanken bei Apple oder Amazon knacken, um an die Kontoinformationen zu gelangen. Für die Sicherheitslücken waren - wie so oft - nicht die PCs oder Server, sondern menschliche Faktoren verantwortlich. Dazu kam noch, dass das Opfer nicht alle möglichen Sicherheitsvorkehrungen genutzt hatte und keine Sicherungskopien etwa auf einer externen Festplatte besaß.
Nach der chronologischen Beschreibung von Mat Honan wurde am 3. August um 16:33 ein temporäres Passwort beim Apple-Support angefordert. Dafür benötigte der Anrufer nur die hinterlegte E-Mail-Adresse, die Rechnungsadresse und die letzten vier Ziffern der Kreditkarte. Um 16:50 konnte dann ein neues Passwort für die Apple-ID gesetzt werden. Ein neues Gmail-Passwort wurde dann um 16:52 per E-Mail angefordert und zwei Minuten später geändert. Danach wurden um 17:00 die Daten auf dem iPhone über das iCloud-„Find My“-Tool gelöscht. Um 17:05 war das MacBook dran und wurde Opfer einer Fernlöschung. Kurze Zeit später löschten der oder die Hacker das Google-Konto.
Die genauen Informationen über den Angriff stammen übrigens vom Hacker selbst. Denn Honan war zuvor davon ausgegangen, dass seine Apple-ID über einen Brute-Force-Angriff gehackt worden sei. Bei einem Twitter-Chat klärte ihn der Hacker jedoch über seine Vorgehensweise auf. Laut Honan hatten es die Angreifer vor allem auf sein Twitter-Konto abgesehen. Der Twitter Account war mit dem seines ehemaligen Arbeitgebers Gizmodo verknüpft. Hier wurden mehrere rassistische Tweets an über 400.000 Follower versendet.
Schwachstelle Amazon
Diese Kette der Ereignisse wurde nur möglich, weil die Angreifer im Besitz von persönlichen Daten des Journalisten waren. E-Mail- und Rechnungsadresse waren leicht aus öffentlich zugänglichen Quellen im Internet zu beschaffen. Ein Anruf beim Amazon-Support genügte offensichtlich, um eine neue Kreditkarten-Nummer zu hinterlegen. Diese Nummer gehörte zu keinem offiziellen Konto, sondern war mit einem Nummern-Generator erstellt worden. Bei einem zweiten Anruf bei Amazon konnten die Täter eine neue E-Mail-Adresse angeben. Zur Authentifizierung reichte die kurz zuvor geänderte Kreditkarten-Nummer. Danach war es möglich, ein neues Passwort anzufordern. Die Bestätigung dafür ging an die eben neu eingerichtete E-Mail-Adresse. Nach Übernahme des Amazon-Kontos konnten die Täter die letzten vier Ziffern der alten Kreditkarten-Nummer sehen. Und diese genügte dann wiederum, zusammen mit E-Mail- und Rechnungsadresse, ein neues Passwort bei Apple anzufordern.
Diese Kette der Ereignisse wurde nur möglich, weil die Angreifer im Besitz von persönlichen Daten des Journalisten waren. E-Mail- und Rechnungsadresse waren leicht aus öffentlich zugänglichen Quellen im Internet zu beschaffen. Ein Anruf beim Amazon-Support genügte offensichtlich, um eine neue Kreditkarten-Nummer zu hinterlegen. Diese Nummer gehörte zu keinem offiziellen Konto, sondern war mit einem Nummern-Generator erstellt worden. Bei einem zweiten Anruf bei Amazon konnten die Täter eine neue E-Mail-Adresse angeben. Zur Authentifizierung reichte die kurz zuvor geänderte Kreditkarten-Nummer. Danach war es möglich, ein neues Passwort anzufordern. Die Bestätigung dafür ging an die eben neu eingerichtete E-Mail-Adresse. Nach Übernahme des Amazon-Kontos konnten die Täter die letzten vier Ziffern der alten Kreditkarten-Nummer sehen. Und diese genügte dann wiederum, zusammen mit E-Mail- und Rechnungsadresse, ein neues Passwort bei Apple anzufordern.
Stellungnahme von Apple
Von Amazon gibt es bisher keine Reaktionen auf den Vorfall, aber Apple hat gegenüber Wired Stellung bezogen. Hier heißt es: „Apple nimmt den Datenschutz sehr ernst und es werden mehrere Prüfungen durchgeführt, bevor das Passwort für eine Apple-ID zurückgesetzt wird. In diesem speziellen Fall wurden die Daten des Kunden durch eine Person kompromittiert, die persönliche Informationen erlangt hatte. Darüber hinaus stellen wir fest, dass interne Richtlinien nicht vollständig befolgt wurden. Wir werden die Prozesse für die Rücksetzung der Passwörter überprüfen, um die Daten unserer Kunden zu schützen.“
Von Amazon gibt es bisher keine Reaktionen auf den Vorfall, aber Apple hat gegenüber Wired Stellung bezogen. Hier heißt es: „Apple nimmt den Datenschutz sehr ernst und es werden mehrere Prüfungen durchgeführt, bevor das Passwort für eine Apple-ID zurückgesetzt wird. In diesem speziellen Fall wurden die Daten des Kunden durch eine Person kompromittiert, die persönliche Informationen erlangt hatte. Darüber hinaus stellen wir fest, dass interne Richtlinien nicht vollständig befolgt wurden. Wir werden die Prozesse für die Rücksetzung der Passwörter überprüfen, um die Daten unserer Kunden zu schützen.“
So können Sie sich schützen
Ob sich die von Mat Honan in der iCloud gespeicherten Daten wiederherstellen lassen, ist bisher nicht bekannt. Für den Journalisten ist der Datenverlust aber auf jeden Fall ein Anlass, über bessere Sicherungsmaßnahmen nachzudenken. Er empfiehlt:
Ob sich die von Mat Honan in der iCloud gespeicherten Daten wiederherstellen lassen, ist bisher nicht bekannt. Für den Journalisten ist der Datenverlust aber auf jeden Fall ein Anlass, über bessere Sicherungsmaßnahmen nachzudenken. Er empfiehlt:
- Sichern Sie die Daten Ihres Computer. Vertrauen Sie beim Backup nicht nur auf Cloud-Dienste. Verwenden Sie auch unabhängige Speicherorte, an die Hacker nicht ohne weiteres herankommen, beispielsweise externe Festplatten oder ein NAS im lokalen Netzwerk.
- Verbinden Sie Online-Konten - soweit möglich - nicht miteinander. Verwenden Sie beispielsweise nicht Ihre Gmail-Adresse für ein iCloud-Konto.
- Verwenden Sie bei Google eine //support.google.com/accounts/bin/answer.py?hl=de&answer=180744&topic=1056283&rd=1:zweistufige Authentifizierung. Wenn der Zugriff auf das Google-Konto von einem anderen Computer aus erfolgt, ist dann ein zusätzliches Passwort erforderlich. Diese erhalten Sie per SMS auf Ihr Handy.
- Bei der Verwendung von Fernlöschdiensten wie „Find My Mac“ sollten Sie vorsichtig sein. Wenn fremde Personen Zugang zu Ihrem Konto haben, können sie alle Daten löschen.
- Gehen Sie sorgfältig mit Ihrer Kreditkarten-Nummer um. Für einige Dienste genügen bereits die letzten vier Ziffern als Bestätigung der Identität. Auch auf Kreditkarten-Quittungen sind die letzen vier Ziffern zu finden.
