Ein heftiger Wolkenbruch

Geschrieben von MMind am Sonntag, 12. August 2012 in Allgemein

Eine bedenkliche Entwicklung der letzten Zeit ist die Verknüpfung von allen möglichen Rechengeräten mit diversen Webdiensten verschiedener Anbieter — auch Cloud-Computing genannt. Was passieren kann, wenn man sich aber zu sehr an solche proprietären Ökosysteme bindet, war Anfang der Woche zu lesen. Der Wired Redakteur Mat Honan war Opfer eines großflächigen Angriffs und verlor dabei so wie es aussieht sehr viele persönlichen Daten.

Das Ziel der Angreifer war dabei einfach nur eine Verunstaltung des Twitter-Accounts. Auf dem Weg dahin haben die Angreifer aber eine Spur der Verwüstung hinterlassen. Im sehr lesenswerten Artikel von Mat Honan ist der gesamte Ablauf des Hacks minutiös nachgezeichnet. Deswegen möchte ich nur nochmal die heftigste Sicherheitslücke erwähnen.

Laut dem Artikel reichen zum Zugriff auf einen Apple-Account, und damit auch zur Remote-Wipe-Funktion, bereits der Account-Name — d.h. die E-Mail Adresse, die letzten vier Stellen der Kredit-Karte und die Rechnungsadresse. Adressen stehen meist im Impressumsbereich von Webseiten oder anderen komischen Social-Irgendwas Aggregatoren und das finden der Kreditkartendaten scheint auch nicht viel schwerer gewesen zu sein.

Der Weg zu diesen hat dabei über Amazon geführt. Dabei wurde in einem ersten Schritt dem Account telefonisch eine neue Kreditkarte hinzugefügt — dazu scheint nur der Account-Name und die Adresse notwendig zu sein. In einem zweiten Schritt wurde wieder telefonisch dem Account eine neue E-Mail-Adresse hinzugefügt. Dies scheint möglich wenn man angibt den Zugriff verloren zu haben und benötigt wieder nur Account-Name, Adresse und die eben neu hinzugefügte E-Mail Adresse. Nun kann man an diese neue Adresse ein neues Passwort zusenden lassen, sich damit anmelden und nun auch die vier Stellen der bisherigen Kreditkarte sehen. Damit ist der Zugang zum großen roten Löschen-Knopf komplett frei.

Aber wie Mat schreibt, ist nicht nur Amazon ein mögliches Einfallstor, sondern im Prinzip alle die Kreditkartendaten verarbeiten:

And it’s also worth noting that one wouldn’t have to call Amazon to pull this off. Your pizza guy could do the same thing, for example. If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.

Schon allein Vorstellung dass ein Konzern die Mittel besitzt, aus der Ferne persönlichen Daten zu lesen und zu löschen, ist gruselig — scheint aber in Walled Gardens üblich zu sein. Der erste große Fall dieser Art war ja Amazon, die ein Buch von den Kindle-Readern entfernt haben — bezeichnenderweise war dies auch eine Ausgabe von George Orwells 1984. Dass es aber Menschen gibt, die freiwillig auch ihre noch freien Geräte in diese Umklammerung geben entzieht sich meinem Vorstellungsvermögen.

Dass diese Funktion zum Löschen aus der Ferne dann aber nicht nur für den Anbieter sondern auch noch für beliebige Angreifer sehr einfach zugänglich ist, ist aber richtig erschütternd.


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA 1CAPTCHA 2CAPTCHA 3CAPTCHA 4CAPTCHA 5


Suche

Nach Einträgen suchen in Outside the Walled Garden:

Das Gesuchte nicht gefunden? Gib einen Kommentar in einem Eintrag ab oder nimm per E-Mail Kontakt auf!