Apples Statement zur iCloud-Sicherheitslücke

Vor Zwei Tagen habe ich vom Journalisten Mat Honan berichtet, dessen iCloud-Account durch eine Lücke im System von Apple geknackt wurde. Der Täter hat nicht etwa sein Passwort gehackt, sondern hat sich beim Apple-Support als Honan ausgegeben und somit die Kontrolle über den Account erhalten.

Apple nimmt die Privatsphäre sehr ernst und es gibt viele Fragen die zur Idendifikation gestellt werden bevor ein Apple-ID Passwort resettet wird. Im Fall von Honan hatte der Täter persönliche Informationen über den Journalisten zur Verfügung. Außerdem wurden in diesem Fall die internen Richtlinien nicht komplett befolgt. Es wird jeder Prozess für den Account-Reset überprüft, um die Daten des Kunden zu sichern.

Soweit die Theorie, nun der Realitätscheck: Wired hat selbst versucht eine andere Apple-ID auf diese Weise zu knacken, und das Ergebnis ist wenig erfreulich: Mit Leichtigkeit wurde die Apple-ID übernommen. Laut Wired benötigt man nur die Rechnungsadresse und die letzten Vier Ziffern der Kreditkarte um an eine fremde Apple-ID zu gelangen.

Apple muss also dringend etwas tun, denn wie man sieht sind die vielen Formen der Identifikation nicht ausreichend. Apple hat das Zurücksetzen einer Apple-ID über den Telefonsupport mittlerweile eingestellt, aber so kann man die Situation nicht belassen. Neben der Seriennummer als Identifikation wäre für jede Apple-ID auch eine Art “Reset-Code” denkbar, der im Falle einer Zurücksetzung angegeben werden muss.

Ihr könnt euch vor einer kompletten Zerstörung, wie sie Mat Honan erlebte, schützen, indem ihr eure E-Mails zumindest vorläufig nicht über die iCloud leitet. Somit könnt ihr eure Apple-ID im Ernstfall wieder unter eure Gewalt bringen.