Promi-Hack: Apple untersucht "aktiv" illegalen Zugriff auf iCloud

Die am vergangenen Wochenende aufgetauchten privaten Bilder zahlreicher Schauspielerinnen und Sängerinnen sind vermutlich auf eine Sicherheitslücke in Apples Online-Dienst iCloud zurückzuführen. Das kalifornische Unternehmen hat dies bisher nicht ... mehr... Apple, Logo, Cloudsynchronisation, iCloud Bildquelle: Apple Apple, Cloudsynchronisation, iCloud Apple, Cloudsynchronisation, iCloud Apple

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
die Pizza steht wohl für "piece of..."... Ergibt dann mit dem zweiten Emoji einen Sinn :-)
 
@scar1: Oder "Eat shit" ;)
 
@scar1: Ich persönlich warte ja immer noch auf das Kotz-Emoji...
 
Alles, was in die Wolke geht, kann und wird früher oder später öffentlich. Wer das nicht begreift und z.B. Nacktbilder von sich hoch lädt, trägt zumindest immer eine Teilschuld aus meiner Sicht.
Die Cloud ist NICHT privat; war sie nie und wird sie nie sein. Genauso wie man Wertgegenstände nicht im Auto liegen lassen soll, sollte man allzu privates nicht in die Cloud legen.
 
@Runaway-Fan:
Habe mir heute nacht mal die Kommentare dazu im Heise-Forum durchgelesen.
Manche schreiben für cloud, "Klaut" was ich ein tolles Synonym finde.
Andere schreiben von selber schuld bis hin zu: Fremde Wohnung bei offener Tür betreten ist trotzdem Einbruch.

Manche sprechen auch von absichtlichem Marketing

Hab mir die Bilder mal angeschaut ;-) Manche sehr intimen, könnten auch Fakes sein.
Aber eins will mir partout nicht einleuchten:
Daß viele Pärchen solche Bilder machen, leuchtet mir absolut ein. Kenne ich auch und hat auch was. Einheizen, anturnen etc.
Aber wenn ich doch weiß, daß meine Bilder automatisch hochgeladen werden, da ich es mal so eingestellt habe, dann gehe ich mit der Sache doch anders um, oder?

So, jetzt gibt es harmlose "Selfies" in kleiner Auflösung und sehr intime Bilder in sehr hoher Auflösung, die der Partner mit dem Besitzerphone heimlich gemacht haben könnte oder eben als Fakes untergemischt sein könnten.

Und was dazukommt. Wenn ich solche Bilder von mir schiesse und verschicke, löscht man die nicht gleich?
Wie oft gibt man jemand mal sein SP in die Hand, um das gerade geschossene Bild anzuschauen und da hat man nicht angst, daß der andere das schmutzige sehen könnte?
Desweiteren, wenn man solche Bilder verschickt, ist das empfangene SP doch ebenfalls ein Kandidat daß man diesen Account mal "überprüft"?
 
@Candlebox: Tja, Auto -Upload an, Bild vom Handy gelöscht - aus den Augen, aus dem Sinn...
 
@Candlebox: "Wie oft gibt man jemand mal sein SP in die Hand, um das gerade geschossene Bild anzuschauen und da hat man nicht angst, daß der andere das schmutzige sehen könnte?" Wie oft man das SP aus der Hand gibt, kann ich dir sagen, niemals, ganz einfach! Sollte es doch unvermeidlich sein...Ich weiß nicht, wie das auf dem iPhone aussieht, aber die Fotos die jemand nicht sehen soll, sind bei mir in einem Ordner, der nur durch PIN Eingabe angezeigt wird.
 
@Runaway-Fan: Jein. Die Bedenken gegen die Cloud sind ja häufig eher der Natur "der Anbieter und ggf. der Staat können Einsicht in die Daten nehmen", weniger der Art "Dritte können sich unbefugt Zugriff verschaffen" (so wie hier geschehen).

Sicherlich gehört Vertrauen in die Sicherheitsmaßnahmen des Anbieters dazu, und die Vernetzung erlaubt es Angreifern aus der gesamten Welt, sich am Einbruch zu versuchen, anders als bei einem Einbrecher, der vor Ort sein muss und bei Entdeckung auch gleich persönlich dingfest gemacht werden kann. Insofern ist das Risiko durchaus höher als beim Einschluss von persönlicher Habe z.B. in ein Bankschließfach (wobei auch dort letztlich das Restrisiko eines Bankraubes besteht, ist nun jeder, der etwas in ein Bankschließfach sperrt und auf die Sicherheit der Bank vertraut ein Narr?), und "sicher ist sicher", somit ist es nicht unvernünftig wirklich kritisches aus der Cloud raus zu halten.

Allerdings ist zumindest mir Deine Argumentation ein wenig zu pauschal ("Alles ... wird früher oder später öffentlich" - das ist schlichtweg falsch, ich bin mir sicher in der Cloud lagern Unmengen an Daten, die niemals öffentlich werden) - und wer nicht differenziert sondern pauschalisiert hat möglicherweise seinen Standpunkt nicht richtig durchdacht (was nicht ausschließt, dass er nicht dennoch Recht hat ;)).
 
@FenFire: Nicht ganz. Jeder der etwas hat, was er auf keinen Fall der Öffentlichkeit anvertrauen will, der behält es unter seiner Kontrolle. Ich lade also mit Sicherheit keine Daten/Fotos irgendwo hoch, wo ich nicht genau weiß wie es um die Sicherheit bestellt ist. Wenn es nur lokal auf dem Smartphone gespeichert ist, kann es zwar auch gestohlen werden, aber dann ist das einzig die Schuld des Besitzers. so viel sollte jedem klar sein, auch wenn man kein Informatiker ist, dass sagt einem der gesunde Menschenverstand.
 
@Runaway-Fan: Uns muss man sowas ja auch nicht sagen. Aber außerhalb unserer Filterblasen sieht das in der Regel völlig anders aus mit solchem Wissen.
 
Ich weiß nicht, was ich zu dem ganzen Tarara sagen soll... (mir persönlich ist es übrigens scheissegal, ob das hier Promis sind oder nicht)

Auf der einen Seite find ichs natürlich ne ziemliche Heftigkeit, dass iCloud so offenherzig die Möglichkeit zulässt, die Acounts zu bruteforcen. Da kann kein Nutzer was für.

Auf der anderen Seite denk ich aber auch: wenn ich will, dass private Fotos *wirklich* privat bleiben, packe ich sie nicht auf eine Cloud bzw ein Gerät, was automatisch einen Clouddienst zum synchronisieren und für Backups nutzt. Und dass iOS bzw iCloud das tut, sollte man als Apple-Nutzer wissen (gerade in den USA, wo man eh vertrauter mit Apple Produkten sein sollte).
 
@Slurp: wobei sowohl der Fotostream als auch iCloud Backup optionale „Dienste“ sind. Man kann also auch nur lokal auf seinen Geräten hosten (Backup über itunes/ iphoto). Wenn ich mich richtig erinnere, sind beide Funktionen standradmäßig auch deaktiviert. Nur damit hier kein falsches Bild entsteht ;-)
 
@sponch: Naja, "kann", was wohl - wenn iCloud als Quelle wirklich bestätigt wird - aber nicht geschah.
 
@Slurp: Das Problem ist, so wie sich die Kommentare der Betroffenen lesen, ist nur, dass Apple halt alles dafür tut, dass die Leute iCloud nutzen und das alles irgendwie möglichst hübsch verpackt und einfach zusammenspielt. Die Leute sind sich der Gefahren halt einfach nicht bewusst und selbst wenn, dann fehlt das Wissen und das KnowHow, die Gefahr zu minimieren.
 
Auf Macrumors meinte gestern jemand, dass die für die Veröffentlichung der Bilder verantwortlichen meinten, dass die Bilder nicht nur von icloud kämen. Weiss da jemand mehr?
 
@gutenmorgen1: Keine Ahnung, warum du dafür -4 bekommst. Ja, ich hab davon auch gelesen, angeblich war nicht nur iCloud die Quelle.
 
Das größte Problem dürfte wohl zwischen den Ohren der Login-Programmierer & Cloud-User liegen :-(
 
@beeelion: Oder zwischen den Beinen des Hackers. ;)
 
Mir bleibt nur eine unschlüssige Frage zu diesem Thema (ohne Apple nahe treten zu wollen). Aber wenn denn es so stimmen sollte,das die iPhones ab Werk so konfiguriert sind, das jedes geschossenen Bild gleich in die iCloud wandert, dann ist das schon ganz schön heftig.Warum liefert Apple ihre Geräte ab Werk denn so konfiguriert aus????Ich glaube kaum,das ein User beim Kauf eines iPhone gleich auf Anhieb weiß,das seine Bilder ohne seines Wissens in die Cloud verfrachtet werden.Hierzu sollte sich mal Apple äußern.So etwas finde ich schon mehr als bedenklich!!!
 
@Fanta2204: Ist das so? Wußte ich nicht. Ich würde mich dann aber über den hohen Traffic wundern.
 
@Fanta2204: Der iCloud-Fotostream ist bei neuen Geräten und iOS-Neuinstallationen afaik erstmal deaktiviert und muss manuell aktiviert werden.
 
@Saudumm: Alle iCloud Dienste müssen erst aktiviert werden.
 
@Fugu3102: Richtig, ich hab mich nur darauf bezogen, dass man trotz iCloud-Aktivierung (bspw. bei der Einrichtung) den Photostream nochmal separat aktivieren muss. :)
 
@Fanta2204: Fotostrea und iCloud Backup sind standardmäßig deaktiviert. Selbst iCloud ansich muss man beim ersten Start erstmal aktivieren.
 
@Fanta2204: lest doch, was ich oben geschrieben habe.
 
"Wir nehmen Nutzer-Privatsphäre sehr ernst. " Sorry aber wenn es jetzt keine US Promis gewesen wären, wäre es Apple scheiss egal. Die Bruteforce-Attacke auf iCloud wurde schön öfters in einen Foren angesprochen, Apple hatte nie was unternommen. Es sollte es also echt sein das iCloud so einfach Hack is dann ist Apple schuld und nicht die User.
 
@Fugu3102: Ja? Apple bietet doch eine Zweiwege Autentifizierung an. Wenn der Nutzer die nicht nutzt ist Apple schuld? Würden sie es zwangsweise einführen wäre das Geschrei riesig weil es so nervt. Und zum Passwort siehe o8.
 
@Rodriguez: Der benutzte Weg ist aber durch extrem mangelhafte Sicherheitsvorrichtungen seitens Apple erst überhaupt möglich gewesen. Unlimitiert Login Versuche zuzulassen ist einfach ganz grob dämlich.
 
@CvH: Dämlich ja. Fahrlässig auch, aber Schuldig? Letztlich wurden ja nicht nur iCloud Accounts für den Leak genutzt. Es sind ja auch Promis betroffen die gar kein iPhone nutzen. Es würde also auch reichen das PW irgendwie anders herauszufinden (gleiches Passwort an anderer Stelle, Passwort abfangen, abgucken, usw) um an die Daten zu kommen. Brutforce ist eine Möglichkeit unter vielen.
 
@Rodriguez: "Es sind ja auch Promis betroffen die gar kein iPhone nutzen." Dafür ihr Mann oder der, der die Fotos gemacht hat? Kann man eventuell runterladen und die exif auslesen für ein erstes Indiz

Können es auch auf ihren Mac geladen haben mit einer 0815 Kamera.
 
@Rodriguez: Ja sind schuldig da man sowas bei der Entwicklung abfangen kann.
 
@Fugu3102: Und es gibt keinen anderen Weg? Das die Brutforce Variante genutzt wurde ist nur eine Vermutung. Überleg doch mal wie viele Meldungen es in den letzten Jahren gab, wie viele Milliarden Passörter gestohlen wurden. Wenn du die Emailadressen der jeweiligen Promis hast (die sind ja Vorraussetzung um den iCloud Account zu hacken), hast du auch die Passwörter. Wie viel Prozent der Nutzer haben wohl für jeden Account ein anderes Passwort? Da hilft dir auch kein Brutforce Schutz.
 
@Rodriguez: ein System was bruteforce Attacken überhaupt zulässt ist nicht sicher (also im Rahmen einer sinnvollen Attacke). Das ist eines der aller simpelsten Sicherheitsmechanismen, wenn die nicht mal geschafft werden dann gute Nacht.
 
@CvH: Ja, es sagt ja auch keiner etwas dagegen. Ich bezweifel allerdings das man damit die Schuldfrage klärt. Es ist nichtmal sicher das diese Methode genutzt wurde. Siehe die Beiträge weiter unten, bei der Mindestvorgabe für ein iCloud Passwort ist es zeitlich gesehen auch ohne Brutforce Schutz kaum möglich ein Passwort zu knacken.
 
@Rodriguez: naja bruteforce ist nicht immer nur das es wahlolos alles durchprobiert. Das kann man problemlos auch mit einer Wörterbuch Attacke machen. Da brauchst du "nur" noch 1-2h um wirklich viele Sinnvollen PWs durchzuprobieren.
 
@CvH: .... wenn die Passwörter entsprechend Simpel gestrickt sind.
 
@Rodriguez: nein eben nicht, z.B. "Güllebäckerei76" wäre damit auch relativ schnell geknackt. Das ist an sich ein relativ "gutes" Passwort für einen der sich mit der Materie nicht auskennt. Wenn mir Apple dankenswerter weise aber unendlich Versuche gibt Passwörter durch zu probieren ist das so oder so egal. Das kann man drehen wie man will, das ist ein Totalversagen seitens Apple (wo das sicherlich nicht die einzigen sind die solche Totalschäden drin haben)!
 
@Rodriguez: Du hast wieder mal vollkommen Recht: Apple macht keine Fehler und Apple ist das Beste auf der Welt........
 
@M4dr1cks: das steht wo? Habe doch gesagt das es eine schwere Lücke ist und sehr fahrlässig!?
 
Was mich irritiert: Ein iCloud Passwort muss mindestens 8 Zeichen lang sein, einen Groß- einen Kleinbuchstaben und eine Zahl enthalten. Bei der primitivsten Version würde es 15 Stunden dauern es mit Brutforce zu knacken. Nur ein Zeichen mehr erhöht die Dauer auf 39 Tage. Ein weiteres schon auf 6 Jahre. Oder statt mehr Zeichen ein Sonderzeichen mit drin und man ist bei 2 Jahren. Heißt, alle Opfer des "Hacks" müssten im Grunde gerademal die Mindestvorgabe eingehalten haben.
 
@Rodriguez: Sie wie 98% der User halt. Grade technisch nicht so versierte Leute nehmen das kleinste Übel an Passwort was ihnen so einfällt. Was ich da in meinem Bekanntenkreis schon an Passwörtern gesehen habe, das geht vom eigenen Namen über die Adresse und den Geburtstag einfach "weil man es sich so leicht merken kann". Hat ja schon seine Gründe warum sachen wie "Passwort, Passwort1234" u.ä. immer wieder die häufigsten Passwörter sind.
 
@Rodriguez: Wer bruteforcet denn von "00000000" bis "ZZZZZZZZ" durch? Du glaubst doch wohl kaum, das die oben genannten Leute ein Passwort wie "dE46G9io" haben? Die werden da nach einer Worttabelle gehen: "Wortteil A" (inkl. Großbuchstabe) [Bsp.: Sunny] + "Wortteil B" [Bsp.: babe] + "Zahl" (Jahreszahl o. ä.) [Bsp.: 80] = "Sunnybabe80"... Voila...
 
@klein-m: Meines Wissens nach sind die angegebenen Zeiten Durchschnittszeiten bei denen Worttabellen u.ä. berücksichtigt sind. Wenn die natürlich Passwort123 nutzen dauert es nichtmal eine Sekunde. Aber darauf wollte ich ja hinaus.
 
@Rodriguez: man muss sich nur mal überlegen welche Sicherheit da vorherrscht wenn man problemlos erst mal 8 Stunden brutforcen kann ohne das es jemand merkt -.-
 
@CvH: Schockierend.
 
@Rodriguez: Nur 2 jahre? Wieviele versuche pro Sekunde bekommst denn da durchgeprügelt?
 
@Aerith: Bis zu 2 Mrd.
 
@Rodriguez: Meine Fresse, was hatn Apple da fürn Login server stehn... Oo Oder redest du davon ein PW lokal mit nem Multi-GPU setup zu knacken?
 
@Aerith: Stimmt, das hab ich gar nicht bedacht. Das müsste die Zeit natürlich signifikant verlängern.
 
@Rodriguez: Ich denk mal mehr als 2-3 Versuche pro Sekunde kriegste bei nem Onlinedienst ned hin.
 
@Aerith: Dann wird Brutforce wohl kaum das Mittel gewesen sein.
 
@Rodriguez: Fällt mir auch sehr schwer zu glauben. Aber selbst wenn man 50 Versuche/Sekunde schaffen würde, welcher server toleriert das von der selben IP für Stunden? Das ist doch nur Epic fail. Acc nach 10 gescheiterten Versuchen dicht machen und fertig. Wer wieder frei haben will muss mitm Support Kontakt aufnehmen.
 
@Rodriguez: Wenn man den iTunes Account schon sehr lange hat kann es sein, dass noch unsichere Passwörter verwendet werden und ich denk mal wenn da wirklich diese Bruteforce Lücke ausgenutzt wurde, dann wurden Passwortlisten verwendet. Aber ich verstehe auch nicht wie man überhaupt an die Apple IDs der Stars kommen sollte ich meine die private E-Mail wird ja nicht so einfach zu finden sein. Was ich auch noch ein bisschen eigenartig finde ist, dass bei keinem Twitter oder Facebook Profil irgendwas gemacht wurde, ich meine wenn das Passwort schon so einfach zu Bruteforcen war kann man doch nicht erwarten, dass die Stars bei Fb ein anderes benutzen. Wieso hat man die Fotos nicht direkt dort hochgeladen, das würde doch auf jeden Fall nochmal einiges mehr mediale Aufmerksamkeit geben.
 
@theBlizz: naja, die Stars kennen sich ja untereinander. Wenn du eine Handvoll Emailadressen hast, hast du danach mehr als genug Kontakte aus den Kontaktbüchern.
 
he he naja nun gut das es sowas wie torrent gibt und diese Bilder daher niemals ganz aus dem Netz verschwinden werden^^
 
ich frage mich eher, warum muss man solche bilder unbedingt in der cloud speichern?!
 
@cptdark: 90%+ der Benutzer, technisch unbedarft (das ist kein Vorwurf) und aus der Kategorie ich hab doch nix zu verstecken.
 
@CvH: Oder liegt es daran, daß die Firmen dem Konsumenten vermitteln: alles ok, mach dir keinen Kopp.
 
@wolftarkin: auch wenn das nicht so wäre, die haben doch alle nix zu verstecken ! Somit ist das alles egal solange die Leute planlos alles preisgeben :)
 
@CvH: dann dürfen sie sich aber auch nicht über solche leaks beschweren ;)
über den hier beschwer ich mich ja auch nicht ^^
 
@CvH: meine handy-fotos gehen auch via dropbox auf den pc, bin da auch etwas bequem, allerdings kann ich das verhindern falls ich mal welche aufnehme, die da nicht hinsollten
 
@cptdark: das machst du, wie viele anderen wird das nicht interessieren ;)
 
Ich frage mich eigentlich bei dieser Nachricht gerade, wer so doof ist und solche Bilder in die Cloud hochlädt?!
 
@L_M_A_O: Sicherlich nicht absichtlich. Eher fahrlässig. Backup? Jo, brauch ich. In der Cloud? klar, kein Bock es dauernd an den Computer anzuschliessen. Fertig.
 
@Rodriguez: Weiß nicht so recht ob das fahrlässig ist, bei WP heißt die Funktion z.B. glaube "Bilder standardmäßig auf OneDrive hochladen", da weiß man doch das seine Bilder dort landen. Auch wenn dort nur stehen würde "Backup von Bildern auf iCloud speichern". Ich denke einfach die Leute wollen es sich leicht machen und die Bilder dann einfach mit ihren anderen Apple Geräten einfach ansehen können;)
 
@L_M_A_O: Ja, man kann auswählen ob Bilder im Backup gesichert werden oder nicht. Aber genau das will man ja. Die werden ja jeweils ein paar tausend Fotos auf ihren Handys haben, die sie auch gesichert haben wollen. Die Entscheidung das über iCloud zu machen ist soweit ja auch kein Problem. Gerade wenn man viel unterwegs ist, ist das nicht nur bequemer sondern erstmal auch sicherer (auf Grund der kurzen Abstände). Das Backup ist ja auch sicher genug verschlüsselt, ein normaler Hack wäre also auch keine Besorgnis. Das Problem hierbei ist halt, das die Angreifer den Schlüssel hatten. Was willst du da machen? Die einzige Möglichkeit wäre, die Fotos sofort zu löschen, damit sie aus dem Backup raus sind. Oder irgendwie verschieben, aus dem Standardalbum in ein anderes App. Aber wenn das jemand nicht macht würde ich das nicht als "Dumm" oder "selbst Schuld" Bbezeichnen, sondern wenn dann als fahrlässig.
 
@L_M_A_O: Wie schon häufig geschrieben: Entweder technische Unbedarftheit oder aber die Damen waren es noch nicht einmal selbst, die die Bilder hoch geladen haben, sondern der Mann, Freund, Lover, Paparazzi, etc.
 
Wird hier eigentlich automatisch gelöscht, oder liest hier immer jemand mit? Wenn ich in einem Artikel über "Bruteforce-Attacken" einfach das Wort "Joshua" poste, dann erwarte ich auf einer Technikseite, daß die verantwortlichen Leute damit was anfangen können. Von wegen "mehr Relevanz"(<aus der Löschmail).
 
"Begünstigt wird ein derartiger Angriff durch den Umstand, dass Apple keine Limits im Hinblick auf Fehlversuche hat: Ein Passwort kann immer wieder ohne Konsequenzen falsch eingegeben werden, eine zeitweilige oder gänzliche Sperrung oder Captcha-Abfrage findet nicht statt."

Bwahaha ... na das is ja mal epic fail.

Wobei sonderlich sinnvolle PWs hatten die Promis dann wohl nicht, denn selbst mit unendlich BF würde man für mein PW wohl ein paar millionen Jahre brauchen. (Websiten login funzt ja nicht mit der Geschwindigkeit eines crackenden Multi-GPU setups)
 
@Aerith: Wie gesagt, die Mindestanzahl sind ja 8 Zeichen, bei Gr0ß-, Kleinbuchstabe und Zahlen. Als mindestens(!!!) 218.340.105.584.896 Kombinationen.
 
@Rodriguez: na ja, wenn du auf einfache eingabe am handy wert legst, sinds nur noch a-z und vielleicht die zahlen ...

wer schaltet da schon ständig die tastatur um oder hält tasten ewig gedrückt ...
 
@cptdark: Man muss ja mindestens 8 Zeichen, einen Groß-, einen Kleinbuchstaben und eine Zahl haben. Alles andere wird nicht akzeptiert. Deswegen, die Anzahl ist der Mindestwert.
 
@Rodriguez: Da aber die wenigsten Leute synthetische Passworte verwenden dürfte ein Dictionary schon vollkommen reichen, was natürlich deutlich schneller geht. Die Zahlen sind zwar prinzipiell ne tolle Idee, aber erfahrungsgemäß stehen diese fast immer am Ende was natürlich von der Mindestanzahl der Zeichen ab geht und die Suche noch schneller macht. ;)
 
@Johnny Cache: Jo und viele setzen auch Teile ihres Geburtsdatums ein, was bei Schauspielern ja leicht rauszufinden ist.
 
"aktiv"? Sonst verfolgen sie alles "aggressiv", wenn's sie selbst betrifft.
Kommentar abgeben Netiquette beachten!

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

iPad im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles