Wie nachlässig Apple iTunes-Kundendaten schützt

Im ersten Moment hatte ich ja gehofft, eine gigantische Sicherheitslücke bei einem der größen E-Commerce-Anbieter aufgedeckt zu haben – und meinem Blog mit der Veröffentlichung Millionen und Abermillionen von Besuchern zu bescheren. Kurz darauf schien mir, dass in diesem Fall das größere Leck wohl eher vor einem Meppener Bildschirm gesessen hatte. Dennoch denke ich, dass ein Shop-Anbieter wie Apple den hier begangenen Kunden-Fehler mit einfachen Mitteln ausschließen kann – und sollte.

Was ist geschehen?

Ich trage einen berühmten Namen. Naja, eigentlich nicht wirklich, aber mein Vorname war in den 60ern mal halbwegs beliebt, ich selbst bekam ihn von meinen Eltern verpasst, als seine Popularität schon auf dem absteigenden Ast war. Dennoch gibt es zahlreiche Träger dieses Namens.

Außerdem habe ich aus der Zeit bei meinem ersten Arbeitgeber eine Emailadresse, die mir schon die ein oder andere Irrläufer-Mail bescherte; die Struktur ist vorname@grosserprovider.de. Sagen wir, ich hieße Hans, dann habe ich eine Emailadresse analog zu hans@t-online.de. Immer wieder glauben nun Menschen, dass sie diese Emailadresse besitzen und senden zur Prüfung Testmails. Manche melden sich aber auch gleich bei irgendwelchen Newslettern an (*nerv).

Und wieder andere melden sich mit meiner Emailadresse, von der sie glauben, dass sie ihnen gehört, bei iTunes an – so geschehen am vergangenen Montag. Konnte ich mich darüber zunächst nur aufregen, wurde ich gestern, am Dienstag, dann aufmerksam, hatte ich doch in der Nacht eine Bestellbestätigung erhalten.

iTunes-Bestellung
iTunes-Bestellung

Zwar nur kostenlose Artikel, aber natürlich: Der Nutzer hatte meine Email-Adresse angegeben, also bekam ich seine Bestellbestätigungen.

Und dann flüsterte mir das kleine Teufelchen auf der Schulter: Probier doch mal, ob du den Kram nicht beenden kannst, indem du sein Passwort änderst. Gesagt, getan: Ich folgte dem Link, den Apple in der Bestell-Mail zu den Account-Daten anbot, wurde nach dem Passwort gefragt, das ich natürlich nicht kannte, wählte stattdessen die Alternative „Passwort zurücksetzen“, bekam eine Mail mit einem Link, folgte diesem Link – und konnte ohne weitere Rückfrage das Passwort des Nutzers zurücksetzen und ein neues, von mir gewähltes angeben.

Email: iTunes-Passwort zurückgesetzt
Email: iTunes-Passwort zurückgesetzt

Es kam keine Sicherheitsabfrage etwa nach den letzten Ziffern seiner Kreditkartennummer oder nach dem Namen seines Hundes, den er in seinen Accountdaten für solch einen oder ähnliche Zwecke ebenso angegeben hatte wie sein Geburtsdatum. Der Hund heißt übrigens Aika.

iTunes-Sicherheitsabfrage
iTunes-Sicherheitsabfrage

Unterm Strich ist das Ergebnis meiner mir in den Schoß gefallenen Hack-Attacke, dass ich nach Änderung des Passworts und der Antworten auf die Sicherheitsabfragen (der Hund heißt jetzt nicht mehr Aika) nun den iTunes-Account eines anderen Menschen besitze, wenigstens über ihn verfügen kann.

Und natürlich hat der Nutzer auch seine Kreditkartendaten angegeben, die ich zwar nicht auslesen kann, weil sie von iTunes bis auf die letzten 4 Ziffern korrekt verdeckt werden. Aber ich könnte dennoch buchstäblich auf Kosten eines Namensvetters aus Meppen bei iTunes einkaufen bis der Arzt kommt – oder die Polizei, denn mir ist schon klar, dass das illegal wäre und ich über meine IP-Adresse im Zweifel identifiziert werden könnte. Außerdem bin ich ja ein guter Mensch und will niemandem Schaden zufügen.

iTunes-Accountdaten meines Namensvetters
iTunes-Accountdaten meines Namensvetters

Ich möchte die Sache nicht größer machen als sie ist. Letztlich hat den ersten und größten Fehler ein Mensch aus Meppen gemacht, der bei der Anmeldung zum iTunes-Shop eine falsche, aber existierende Email-Adresse angegeben hatte, nämlich meine.

Aber dennoch ziehe ich folgendes Fazit: Apple ließ zu, dass ich alleine mit Kenntnis dieser Email-Adresse und mit Zugriff auf das Postfach den iTunes-Account eines anderen Nutzers übernehmen konnte und nun auf dessen Kosten Produkte downloaden könnte. Es wird für das Zurücksetzen des Passworts keine Sicherheitsabfrage präsentiert, obwohl diese Daten im Account durchaus angegeben waren. Ich halte das für fahrlässig.

Ich werde als nächste Schritte Apple und den Nutzer von dem Vorgang informieren. Wenn etwas zurück kommt, werdet ihr es hier lesen können.

Advertisements

6 Gedanken zu “Wie nachlässig Apple iTunes-Kundendaten schützt

  1. Hm, das ist eine wirklich unangenehme Sache.
    Doch (ich schreibe mal in „ich-Form“):
    1. benutze ich ja nicht einfach eine Mail-Adresse, die jeder Mensch kennt und hinterlege dort meine Kreditkarten-Daten. Das bedeutet, das ja niemand weiß, mit welcher Adresse ich dort angemeldet wäre. Würdest du mir schaden wollen, müsstest du erst meine Mail-Adresse wissen.

    2. Angenommen, du hättest sie mir entlockt, so würde ich ja eine Mail bekommen, das das Passwort zurück gesetzt wurde und eben nicht du. So könnte ich dagegen wirken und es wieder zurück setzen und mich eventuell noch mit einer anderen Mail-Adresse anmelden.

    3. Nehmen wir an, du hättest nun Apps oder sonstiges heruntergeladen, so wie in deinem Fall geschehen, so kann man sie ja nur mit freigegebenen Geräten nutzen; was bedeutet, das sie ziemlich genau auf eine Person registriert sind (und somit halt schnell die Polizei vor der Tür steht).

    Alles in allem hast du recht und es ist wirklich bescheiden. Mich würde interessieren weshalb der Mensch aus Meppen deine Adresse genutzt hat: spätestens, wenn keine Bestätigungen kommen, würde es ihm ja auffallen, das die Adresse falsch ist.

  2. Der Punkt ist: Ich muss nur für 2 Minuten Zugang zum Email-Postfach eines anderen Menschen haben, dann kann ich ohne weiteres Wissen seinen iTunes-Account übernehmen. Natürlich bin ich anhand meiner IP immer noch identifizierbar, allerdings lässt sich auch die verschleiern.

    Warum der Mensch aus Meppen meine Adresse genutzt hat: Weil er wie schon einige andere vor ihm einfach *glaubt*, dass er sie hat, und keine Notwendigkeit zum Testen sieht. Dass er keine Bestätigungen bekommt, fällt ihm nicht auf, weil er ja nciht weiß, dass er welche bekommen müsste. Und vielleicht hakt er’s auch einfach ab als. Funktioniert ja wohl nicht so dolle, das mit den Mailbestätigungen bei iTunes.

  3. Na Super! Da klicke ich mich mal durch Dein durchaus lustiges „Unverlangt eingesandt“-Topic, bleibe natürlich bei „Ursula in Red“ hängen, kann natürlich nicht an mich halten und gucke mal bei der google-Bildersuche nach und….dann…kommt…..Ursula….von….trannybitches.com.

    Herrje. Ich verzichte jetzt mal auf das , weil Du Dir ja denken kannst dass ich erstmal bedient bin…

    It´s a nasty, cruel world

  4. @endgueltig
    Da bin ich mir nicht sicher, abgesehen davon, dass auch das nicht gut wäre. Eine einfache Möglichkeit wäre es zum Beispiel, vor dem Zurücksetzen des Passworts eines Ecommerce-Accoutns noch eine Sicherheitsabfrage einzubauen, etwa nach dem Geburtsdatum zu fragen oder in diesem Beispiel eben nach dem Namen des Hundes.

Schreibe einen Kommentar:

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s