Dipl.-Inform. Carsten Eilers

Am 3. August 2012 wurde der iCloud-Account des ehemaligen Gizmodo-Autors Mat Honan von Hackern übernommen. Ich habe damals kurz im Rahmen eines Standpunkts darüber berichtet, hier gibt es jetzt eine ausführliche Beschreibung.

Der Angriff hatte für Mat Honan gravierende Folgen, denn in seinem Verlauf wurden gleich mehrere seiner digitalen Identitäten von den Angreifern übernommen:

• Um 16:50 Uhr erlangten die Hacker Zugriff auf Mat Honans iCloud-Account.
  Wie später heraus kam, hatten sie da bereits Zugriff auf seinen Amazon-Account (s.u.).
• Um 16:52 Uhr wurde eine Passwort-Recovery-Mail von Google an die als Backup-E-Mail-Adresse verwendete me.com-E-Mail-Adresse geschickt.
  Zwei Minuten später informierte eine E-Mail Mat Honan über die erfolgreiche Änderung des Google-Passworts.
  Gegen 17 Uhr wurde sein Google- Account dann gelöscht.
• Um 17:00 Uhr wurde Mat Honans iPhone über die "Remote Wipe"-Funktion von "Find my iPhone" gelöscht.
• Um 17:01 Uhr passierte das gleiche mit seinem iPad.
• Um 17:02 Uhr wurde sein Twitter-Passwort zurückgesetzt und der Account übernommen.
  Da das Twitter-Konto mit Gizmodos Twitter-Konto verbunden war, konnten die Hacker auch dort Nachrichten veröffentlichen.
• Um 17:05 Uhr wurde Mat Honans MacBook Air gelöscht.

Es dauerte einige Zeit, bis Mat Honan wieder die Kontrolle über seine Accounts erlangen konnte. Die Daten seines MacBooks, von denen er kein Backup hatte, schienen anfangs unwiederbringlich verloren. Zu Mat Honans Glück konnte ein Datenrettungsunternehmen einen großen Teil der für ihn besonders wichtigen Daten, seine Fotos und selbst aufgenommenen Filme, retten. 25% der Daten auf der Festplatte waren jedoch mit Nullen überschrieben und rettungslos verloren. Aber das betraf zum Glück nur installierte Anwendungen, Einstellungen und ähnliche Daten, auf die er verzichten konnte.

Der Ablauf des Angriffs

Anfangs ging Matt Honan davon aus, dass sein siebenstelliges, alphanumerisches iCloud-Passwort einem Brute-Force-Angriff zum Opfer gefallen war. Nachdem einer der Hacker, der sich Phobia nennt, mit ihm Kontakt aufgenommen und Mat Honan mit Apples Support gesprochen hatte, sah das Ganze völlig anders aus.

Die Hacker waren nur an Mat Honans Twitter-Account interessiert, dessen kurzer Benutzername ihnen gefiel. Und so erlangten sie den Zugriff darauf:

1. Der Twitter-Account war mit Mat Honans persönlicher Website verlinkt, auf der Phobia Honans Gmail-Adresse fand. Die Hacker gingen davon aus, dass diese Adresse auch für den Twitter-Account verwendet wurde.
2. Der Hacker rief Googles Recovery-Seite mit Mat Honans Gmail-Adresse auf. Dort wurde ihm die unleserlich gemachte alternative E-Mail-Adresse angezeigt: m••••n@me.com. Die korrekte Adresse lässt sich daraus leicht erraten.
3. Für den Zugriff auf Mat Honans Apple-ID brauchte Phobia Mat Honans Anschrift und die letzten 4 Ziffern seiner Kreditkarte. Eine whois-Anfrage nach seiner Website lieferte ihm die Anschrift.
   Was jetzt noch fehlte, um Apples Recovery-Prozess zu starten, waren die letzten 4 Ziffern der Kreditkarte.
4. Ein Freund des Hackers hat dann bei Amazon angerufen und eine neue Kreditkarte für Mat Honans Account angegeben.
   Dafür musste er nur den Namen des Account-Besitzers, seine Postanschrift und die E-Mail-Adresse angeben - alles Informationen, die die Hacker bereits kannten.
5. Danach hat der Hacker erneut bei Amazon angerufen und eine neue E-Mail-Adresse für den Account angegeben, da er angeblich keinen Zugriff mehr auf sein Konto habe.
   Dazu reichten ihm der Name, die Anschrift und die Daten der zuvor von ihm angegebenen neuen Kreditkarte.
6. Mit der neuen E-Mail-Adresse konnte dann ein neues Passwort angefordert werden.
   Danach hatte Phobia Zugriff auf den Amazon-Account und konnte die letzten vier Ziffern der originalen Kreditkarte lesen.
7. Danach hat er beim Apple-Support ein temporäres Passwort für den iCloud-Account angefordert.
   Dazu waren wie schon erwähnt nur der Name und die Anschrift, die E-Mail-Adresse sowie die bei Amazon ausgespähten letzten vier Ziffern der Kreditkarte nötig.
   Die eigentlich für solche Zwecke vorgesehenen Sicherheitsfragen musste Phobia nicht beantworten.

Der Angriff war in dieser Form nur möglich, weil Apple und Amazon unterschiedlicher Ansicht darüber waren, welcher Teil einer Kreditkartennummer wichtig bzw. unwichtig sind. Die von Amazon als unwichtig angesehenen und deshalb ausgegebenen letzten 4 Ziffern der Kreditkarte waren Apple wichtig genug, um daraufhin ein temporäres Passwort zu vergeben.

Matt Honan selbst hat zwar auch Fehler gemacht, indem er seine Accounts miteinander verknüpfte und keine Backups anlegte, aber ohne die unterschiedliche Bewertung der Kreditkartennummer durch Amazon und Apple wäre der Angriff zumindest in dieser Form nicht möglich gewesen.

Der Angriff ist ein gutes Beispiel dafür, wie im Rahmen eines Identitätsdiebstahls oder des Ausspähens einer Person bereits erlangte Informationen bei der Beschaffung weiterer Informationen helfen. Aber darauf gehe ich später noch ein.

Denn zunächst geht es in der nächsten Folge um die anfangs erwähnten Angriffe auf Google-Mail-Nutzer.

Carsten Eilers