Apple- und Amazon-Kunde leichte Beute für Hacker

Mat Honan ist verzweifelt. Hacker haben seinen Twitter-Account gekapert, sein Google-Konto gelöscht und alle Daten auf seinem iPhone, iPad und Macbook gelöscht. Letzteres schmerzt besonders, da sich darauf auch alle Fotos von seiner Tochter befanden. Möglich wurde diese digitale Vernichtung unter anderem durch Apples und Amazons Kundendienst, wie der Journalist Honan selbst auf Wired berichtet. Nur bewaffnet mit einer E-Mail-Adresse, einer Rechnungsadresse und den letzten vier Stellen einer Kreditkartennummer konnten die Angreifer Honans komplette Daten ergattern. Wired konnte die Angriffsmethoden erfolgreich reproduzieren. Komplexes technisches Verständnis oder das echte Knacken von Passwörtern war dafür nicht notwendig.

Twitter-Account als ultimatives Ziel

Wie sich herausstellte, hatten es die Hacker vorrangig auf den Twitter-Account ihres Opfers abgesehen. Grund dafür ist seine Kürze: @mat. Macbook, iPhone und iPad waren gewissermaßen nur Kollateralschäden, wie einer der Angreifer Honan bei seinen Recherchen gestand. Haupteinfallstor war aber die @me.com-E-Mail-Adresse für Apple-Kunden, wie sich herausstellte. Über Apples Kundendienst konnten die Hacker ein neues Passwort für Honans Konto beantragen, obwohl sie die Sicherheitsfragen nicht beantworten konnten.

Zuerst mussten die Angreifer aber ein bisschen recherchieren. Der von ihnen ersehnte Twitter-Account lieferte ihnen die persönliche Website von Honan. Über eine einfache WHOIS-Abfrage (ein Protokoll zur Identifikation von Domain-Eigentümern) konnten sie damit die Rechnungsadresse herausfinden. Auf der Website war auch Honans Gmail-Adresse aufgelistet. Da er nicht die zweistufige Sicherheitsfunktion von Google aktiviert hatte, zeigte Google den Hackern beim gescheiterten Einbruchsversuch die alternative E-Mail-Adresse an, die auf @me.com endete. Damit war Apple als Einfallstor fixiert.

Apple und Amazon: Anruf genügt

Die Kreditkarten-Informationen benötigten zusätzliche Tricks. Amazon erlaubt es Kunden, per Telefon zusätzliche Kreditkarten hinzuzufügen. Alles was man dazu benötigt ist die korrekte E-Mail-Adresse für das Konto, die passende Rechnungsadresse und den Namen des Kontoinhabers. Alle drei Informationen hatten die Hacker bereits. Sie gaben bei Amazon eine falsche Kreditkarte an und legten auf. Später riefen sie noch einmal an und behaupteten, sie hätten den Zugriff auf das Konto verloren. Diesmal mussten sie Name, Rechnungsadresse und die neue Kreditkartennummer angeben. Daraufhin erlaubt Amazon das Einrichten einer neuen E-Mail-Adresse. An diese wird das neue Passwort und Informationen aller gespeicherten Kreditkarten geschickt. Zwar nur die letzten vier Ziffern, aber das reichte den Angreifern.

Name, @me.com-Konto, Rechnungsadresse und die letzten vier Ziffern der korrekten Kreditkarte nutzten die Hacker dann, um aus Apples Kundendienst ein temporäres Passwort herauszukitzeln. Bewaffnet mit diesem änderten sie die Apple ID von Honan permanent, worauf sie kompletten Zugriff auf sein E-Mail-Konto hatten. Damit erreichten sie dann Zugang zu seinem Gmail-Konto, über das sich die Hacker schlussendlich ein neues Passwort für den Twitter-Account zuschicken ließen. Danach nutzten sie die "Finde mein ..."-Funktion von Apples iCloud, um Honans iPad, iPhone und Macbook komplett zu löschen.

Apple gibt Fehler zu

Apple reagierte auf Wireds Anfrage und erklärte, dass beim Kundendienst offenbar nicht alle Regeln korrekt eingehalten worden seien. Dennoch bestätigten zwei Apple-Kundendienstmitarbeiter unabhängig von einander, dass man nicht mehr als Name, Rechnungsadresse und die letzten vier Stellen einer Kreditkarte benötige. Amazon hat sich zu der Thematik rund um seine Sicherheitspolitik noch nicht geäußert.

Honan gibt selbst zu, dass er einige Fehler gemacht hat. Hätte er etwa Googles Sicherheitsfunktion Bestätigung in zwei Schritten aktiviert, hätten die Angreifer sich wohl die Zähne ausgebissen. Auch muss es wohl als fahrlässig erachtet werden, wenn jemand seine Familienfotos nur auf einem Gerät speichert und über ein Jahr lang keine Backups anlegt. Auch war etwas fahrlässig, dass er seine @me.com-Adresse für so viele Dienste als Benutzername oder Kontaktadresse genutzt. Und die WHOIS-Informationen einer privaten Website lassen sich (gegen eine kleine Gebühr) bei den meisten Domain-Providern verstecken. Allerdings ist auch klar, dass hier bei den US-Niederlassungen von Apples und Amazons Kundendiensten noch einige Dinge zu klären sind.

(db)