[Apple-ID] Apple-ID gehackt

[Paganini]

Mal dran gedacht statt die Apple ID, das Emailkonto zu wechseln? Gmail.com, oder gmx.de, outlook.com.... Vielleicht hat web.de eine Schwachstelle...

Wie konkret soll diese Schwachstelle aussehen? Ein Angreifer hätte von einem Zugriff auf meine Emailadresse noch keinen Vorteil, der ihn meine Apple-ID knacken lässt. Wenn er mein Passwort der Apple-ID ändern möchte, dann muss er meine Sicherheitsfragen beantworten können (das war nicht der Fall), also hat er einfach meine Sicherheitsfragen geändert, um mich auszusperren. Hätte er Zugriff auf meine Email gehabt, hätte er dann auch mein Passwort geändert, das ging aber nicht, also wollte er die Zwei-Schritt-Authentifizierung aktivieren, um meine Emailadresse zu umgehen. Diese lässt eine Änderung aber erst nach einer Frist von drei Tagen zu.

Der Angreifer kannte schlicht und einfach mein Apple-ID-Passwort bzw. hat es geknackt durch Ausprobieren. Warum Apple das offenbar zulässt nach dem Fappening-Debakel, wo genau eine solche Schwachstelle ausgenutzt wurde, ist mir ein Rätsel. Ich bekomm alle Naselang eine Warnungsemail, wenn ich was an meine Apple-ID-Konto mache, aber niemals, wenn ich mein Passwort mal falsch eingebe.

Ich vermute, dass es Apple einem Angreifer zu einfach macht, per Bruteforceattacke ein Passwort zu knacken.

 

[echo.park]

Hä?

Hat jemand Zugriff auf dein Mail-Konto lässt er sich einfach eine Passwort-Zurücksetzen-Mail von Apple zuschicken und ändert so das Passwort deiner Apple ID. Noch bevor du gucken kannst ist die Mail wieder gelöscht und du bemerkst nichts davon. Gleiches gilt für die Sicherheitsfragen. Um diese auf Apples Webseite zu ändern sind die Antworten der bisherigen Fragen zwingend notwendig. Soweit ich mich erinnern kann kann man das aber per Mail umgehen, wenn man die Antworten nicht kennt. Also gleiches Spiel wie mit dem Passwort.

Ein gekapertes Mail-Konto ist so ziemlich der Super-GAU für jeden Account der da dran hängt.

Da hilft im Falle der Apple ID nur die 2FA zu aktivieren, dann ist es nicht mehr möglich per Mail das Passwort zurückzusetzen, ein gekapertes Mail-Konto ist dann irrelevant.

 

[Paganini]

Hä?

Hat jemand Zugriff auf dein Mail-Konto lässt er sich einfach eine Passwort-Zurücksetzen-Mail von Apple zuschicken und ändert so das Passwort deiner Apple ID. Noch bevor du gucken kannst ist die Mail wieder gelöscht und du bemerkst nichts davon. Gleiches gilt für die Sicherheitsfragen. Um diese auf Apples Webseite zu ändern sind die Antworten der bisherigen Fragen zwingend notwendig. Soweit ich mich erinnern kann kann man das aber per Mail umgehen, wenn man die Antworten nicht kennt. Also gleiches Spiel wie mit dem Passwort.

Ein gekapertes Mail-Konto ist so ziemlich der Super-GAU für jeden Account der da dran hängt.

Da hilft im Falle der Apple ID nur die 2FA zu aktivieren, dann ist es nicht mehr möglich per Mail das Passwort zurückzusetzen, ein gekapertes Mail-Konto ist dann irrelevant.

Nein, das Passwort kann man erst zurücksetzen, wenn man die Sicherheitsfragen richtig beantwortet hat. Ich weiß gar nicht, ob ein Account noch ohne Sicherheitsfragen geschützt sein kann. Hätte er danach dann noch Zugriff auf meine Mail gehabt, dann hätte er natürlich das Passwort ändern können. So hat er nur die Wiederherstellungsemailadresse geändert, damit der Link zur Änderung der Sicherheitsfragen bei ihm landet, die eigentliche Emailadresse der Apple-ID konnte er aber noch nicht ändern, und so sind zum Glück alle Warnemails bei mir gelandet.

Die 2FA funktioniert bei mir wie bei vielen anderen noch nicht. Ich hätte die 2SA benutzen können, das war mein Versäumnis, aber das hole ich nach.

P.S.: Ich sehe gerade, ich hab Bullshit geredet, man kann ja tatsächlich ohne Sicherheitsfragen nur per Email das Passwort ändern. Sorry! Das ist ja ein weiterer Beweis, dass er keinen Zugriff auf meine Emails hatte.

 

[raven]

Die 2FA funktioniert bei mir wie bei vielen anderen noch nicht.

Bisher hatte ich noch nicht die Gelegenheit es bei mir zu testen.

man kann ja tatsächlich ohne Sicherheitsfragen nur per Email das Passwort ändern.

Da fragt man sich für was die Sicherheitsfragen wirklich dienen.

 

[9999px]

An Sicherheitsfragen kommt man mit ein wenig Social Engineering ohnehin prima vorbei. Wird Zeit dass dieses "Feature" ausstirbt.

 

[appleianer]

[Heisst ohne iphone kann ich das für Männe nicht einrichten. ja so macht das aber auch Sinn. Sorry aber da schlampt Apple meiner Meinung nach]

Apple schlampt hier nicht.... einfach mal im entsprechenden Support-Dokument nachlesen. Geht auch nur mit einem iPad oder einem anderen SMS fähigen Smartphone. Darf auch gerne das der Freundin etc. sein

Zu dem Thema dürfte dan auch die gestern erhaltene Mail (.jpg) beitragen.

 

[raven]

@appleianer Kann es auch für seine AppleID einer meiner Mobilenummern sein?
Sorry der späten Anwort aber mein Tastatur undder Nummernblock musste ich neu verbinden. (ist nicht meine Woche)

 

[maddi06]

@raven mach einfach. Wenn dein männecke außer Haus ist kannst du dann halt nix ändern. Oder du gibst gleich deine Handynummer an. Da wäre das dann auch Wurst, wo er ist.

Hmm...

 

[raven]

Hmm...

Was hmm....? meine Hanynummer eingeben sehe ich eher als nicht sehr empfehlenswert an. Denn irgendwann wird er ein iphone bekommen ob er will oder nicht. dann sollte er doch auch seine Nummer genutzt wereen. oder liege ich da falsch? Logisch mache alles ich.

Fazit: ich könnte seine OID und meine ID mit ein un der selben Nummer nehmen für die 2FA?
Heute hatte ich kaum Zeit was in Ruhe zu machen. Und so nebenher wird das sicher nicht erledigt.

 

[maddi06]

Warum du das alles so kompliziert gestaltest muss man jetzt nicht nachvollziehen. Um die Bestätigung zu bekommen benötigt man kein iPhone. Man benötig eine SIM Karte und ein Gerät, was SMS auslesen kann. Also funktioniert das auch mit einem der ersten Handys, welche SMS Unterstützung besitzen.

Die Nummer kannst du später auch noch ändern. Dir ging es gestern darum, was ändern zu wollen, wenn dein Männeke mal nicht da ist.

Du kannst dir auch noch fix einen neuen Vertrag holen und dann nur diese Nummer für die Authentifizierung nutzen.

 

[Mikael Blomkvist]

Und so nebenher wird das sicher nicht erledigt.

Doch, eigentlich schon.

 

[Paganini]

Ich habe mir gerade mal eine neue Apple-ID erstellt und dann versucht mich selbst zu hacken. Einzige Voraussetzung ist, dass ich nur das Passwort kenne, egal wie ich da ran gekommen bin.

Ich kann mein Passwort nicht ohne Sicherheitsfragen ändern (ach ja, doch, ich hab die Emailoption jetzt natürlich doch gefunden, ich fall immer wieder drauf rein), und ich kann meine Sicherheitsfragen nicht zurücksetzen, weil ich noch keine Email zur Wiederherstellung eingetragen habe (nur an diese Adresse wird die Mail zum Zurücksetzen der Sicherheitsfragen geschickt, nicht an die normale Apple-ID-Adresse).

Wenn ich eine Email zur Wiederherstellung eingetragen hätte, hätte ein Angreifer wahrscheinlich keinen Zugriff auf dieses Emailkonto. Ab hier geht's dann nicht weiter.

Es kann meiner Meinung nach also nur folgendes passiert sein:

Ich hatte KEINE Emailadresse zur Wiederherstellung definiert (war wohl wirklich so). Der chinesische Angreifer hat beim Support angerufen, eine Support-PIN erstellen lassen, damit wurde dann die Adresse zur Wiederherstellung vom Angreifer gesetzt, über diese Adresse wurden die Sicherheitsfragen zurückgesetzt. Der Supportmitarbeiter muss also total uninteressiert und arglos gewesen sein, oder der Angreifer war selbst Supportmitarbeiter. Nebengedanke: Geht das vielleicht auch, wenn der Angreifer mein Passwort überhaupt nicht besitzt, sondern beim Support auf "Hab mein Passwort vergessen" plädiert?

Ich komme also zum Schluss, dass es nicht nur dumm ist, die Zwei-Schritt-Bestätigung nicht zu nutzen, sondern geradezu fahrlässig, wenn man es versäumt, eine Emailadresse zur Wiederherstellung zu hinterlegen (setzt natürlich ein zweites Emailkonto voraus).

 

[raven]

wenn man es versäumt, eine Emailadresse zur Wiederherstellung zu hinterlegen (setzt natürlich ein zweites Emailkonto voraus).

Das ist bei uns bei beiden AppleID eingetragen. Die eine muss ich bei Gelegenheit mal ändern. Wird aber erst beim Provider geändert dann ersetzt im Profil.

Doch, eigentlich schon.

Nein und das hat auch einen Grund, den ich sicher nicht über das Forum schreiben werde.
Ich habe nicht wegen _nichts_ mir alle Anleitungen als PDf in ibook gespeichert.

 

[Bobbi]

Hallo Alle
heute gleiches Problemm bei mir
China Email *****tom.com. Eine kostenlose App runtergeladen, E‑Mail-Adresse zur Wiederherstellung geändert, Sicherheitsfragen geändert, zweistufege Bestätigung Aufgefordert, Geburtsdatum geändert. Ich habe als erstes durch Mehrmalige angabe von falschen sicherheitsantworten konnto gesperrt. Dan für morgengen Rückruf vereinbart.

Komische dabe ist, ich habe mein Passwort mindestens seit 1 Jahr nicht mehr eingegeben. Mein I-pod war mindestens 4 monate nicht mehr online. Ich nutze den letzte Zeit nur als MP3 player. Ich bin mir auch ziemlich sicher, das ich die Visa Karte in den I-Tunes auch nicht aktualisiert habe.

Kann sich jemand daraus einen Reim machen wie geht in meinem fall Apple ID hacken?

 

[Martin Wendel]

Verwendest du das Passwort der Apple-ID auch bei anderen Logins?

 

[Paganini]

[...]E‑Mail-Adresse zur Wiederherstellung geändert [...]

Hattest Du jemals eine Emailadresse zur Wiederherstellung ausgewählt? Ich glaube, dass dieser Punkt entscheidend ist. Ich glaube, dass das bei Dir genauso gelaufen ist, wie ich in Beitrag #72 vermutet habe, dass nämlich der telefonische Support missbraucht wird.

 

[Bobbi]

Verwendest du das Passwort der Apple-ID auch bei anderen Logins?

Vielleicht früher. Aber seit langem nicht mehr.

Hattest Du jemals eine Emailadresse zur Wiederherstellung ausgewählt? Ich glaube, dass dieser Punkt entscheidend ist. Ich glaube, dass das bei Dir genauso gelaufen ist, wie ich in Beitrag #72 vermutet habe, dass nämlich der telefonische Support missbraucht wird.

Weiss ich nicht mehr. Kann aber sein, da die Meldung über zweistufige Bestätigung bei mir im Büro auch ankam.

 

[Paganini]

Weiss ich nicht mehr. Kann aber sein, da die Meldung über zweistufige Bestätigung bei mir im Büro auch ankam.

Diese Meldung kommt bei der Hauptadresse und allen Kontaktadressen an, eine Wiederherstellungsemail ist nicht nötig dafür.

Ich glaube, dass die Übernahme bei uns beiden nur funktioniert hat, weil wir eben keine Wiederherstellungsemailadresse angegeben hatten.

 

[E-Harry]

Zufall ? Meine wurde mir am Montag auf die gleiche art aus China gehackt.
Es wurde kräftig eingekauft. Ewig mit dem Support telefoniert und die sagten es liegt nicht an Apple !? Komisch der Account ist erstmal weg meine ganzen Apps und das Handy ist kaum nutzbar. So Super ist das nicht.

 

[Paganini]

Zufall ? Meine wurde mir am Montag auf die gleiche art aus China gehackt.
Es wurde kräftig eingekauft. Ewig mit dem Support telefoniert und die sagten es liegt nicht an Apple !? Komisch

Was sollen die auch sonst sagen? Ich bin mir sicher, dass Apple sich bei den Sicherungen des Accounts schon was gedacht hat, aber ich glaube auch, dass das System nicht narrensicher ist.

Und ich glaube nicht, dass die vielen Fälle, von denen der Supportmitarbeiter sprach, und die gleich drei Fälle hier in diesem Thread auf extrem dämliches Verhalten der Accountinhaber zurückzuführen sind.