Wie nachlässig Apple iTunes-Kundendaten schützt

Im ersten Moment hatte ich ja gehofft, eine gigantische Sicherheitslücke bei einem der größen E-Commerce-Anbieter aufgedeckt zu haben – und meinem Blog mit der Veröffentlichung Millionen und Abermillionen von Besuchern zu bescheren. Kurz darauf schien mir, dass in diesem Fall das größere Leck wohl eher vor einem Meppener Bildschirm gesessen hatte. Dennoch denke ich, dass ein Shop-Anbieter wie Apple den hier begangenen Kunden-Fehler mit einfachen Mitteln ausschließen kann – und sollte.

Was ist geschehen?

Ich trage einen berühmten Namen. Naja, eigentlich nicht wirklich, aber mein Vorname war in den 60ern mal halbwegs beliebt, ich selbst bekam ihn von meinen Eltern verpasst, als seine Popularität schon auf dem absteigenden Ast war. Dennoch gibt es zahlreiche Träger dieses Namens.

Außerdem habe ich aus der Zeit bei meinem ersten Arbeitgeber eine Emailadresse, die mir schon die ein oder andere Irrläufer-Mail bescherte; die Struktur ist vorname@grosserprovider.de. Sagen wir, ich hieße Hans, dann habe ich eine Emailadresse analog zu hans@t-online.de. Immer wieder glauben nun Menschen, dass sie diese Emailadresse besitzen und senden zur Prüfung Testmails. Manche melden sich aber auch gleich bei irgendwelchen Newslettern an (*nerv).

Und wieder andere melden sich mit meiner Emailadresse, von der sie glauben, dass sie ihnen gehört, bei iTunes an – so geschehen am vergangenen Montag. Konnte ich mich darüber zunächst nur aufregen, wurde ich gestern, am Dienstag, dann aufmerksam, hatte ich doch in der Nacht eine Bestellbestätigung erhalten.

iTunes-Bestellung
iTunes-Bestellung

Zwar nur kostenlose Artikel, aber natürlich: Der Nutzer hatte meine Email-Adresse angegeben, also bekam ich seine Bestellbestätigungen.

Und dann flüsterte mir das kleine Teufelchen auf der Schulter: Probier doch mal, ob du den Kram nicht beenden kannst, indem du sein Passwort änderst. Gesagt, getan: Ich folgte dem Link, den Apple in der Bestell-Mail zu den Account-Daten anbot, wurde nach dem Passwort gefragt, das ich natürlich nicht kannte, wählte stattdessen die Alternative „Passwort zurücksetzen“, bekam eine Mail mit einem Link, folgte diesem Link – und konnte ohne weitere Rückfrage das Passwort des Nutzers zurücksetzen und ein neues, von mir gewähltes angeben.

Email: iTunes-Passwort zurückgesetzt
Email: iTunes-Passwort zurückgesetzt

Es kam keine Sicherheitsabfrage etwa nach den letzten Ziffern seiner Kreditkartennummer oder nach dem Namen seines Hundes, den er in seinen Accountdaten für solch einen oder ähnliche Zwecke ebenso angegeben hatte wie sein Geburtsdatum. Der Hund heißt übrigens Aika.

iTunes-Sicherheitsabfrage
iTunes-Sicherheitsabfrage

Unterm Strich ist das Ergebnis meiner mir in den Schoß gefallenen Hack-Attacke, dass ich nach Änderung des Passworts und der Antworten auf die Sicherheitsabfragen (der Hund heißt jetzt nicht mehr Aika) nun den iTunes-Account eines anderen Menschen besitze, wenigstens über ihn verfügen kann.

Und natürlich hat der Nutzer auch seine Kreditkartendaten angegeben, die ich zwar nicht auslesen kann, weil sie von iTunes bis auf die letzten 4 Ziffern korrekt verdeckt werden. Aber ich könnte dennoch buchstäblich auf Kosten eines Namensvetters aus Meppen bei iTunes einkaufen bis der Arzt kommt – oder die Polizei, denn mir ist schon klar, dass das illegal wäre und ich über meine IP-Adresse im Zweifel identifiziert werden könnte. Außerdem bin ich ja ein guter Mensch und will niemandem Schaden zufügen.

iTunes-Accountdaten meines Namensvetters
iTunes-Accountdaten meines Namensvetters

Ich möchte die Sache nicht größer machen als sie ist. Letztlich hat den ersten und größten Fehler ein Mensch aus Meppen gemacht, der bei der Anmeldung zum iTunes-Shop eine falsche, aber existierende Email-Adresse angegeben hatte, nämlich meine.

Aber dennoch ziehe ich folgendes Fazit: Apple ließ zu, dass ich alleine mit Kenntnis dieser Email-Adresse und mit Zugriff auf das Postfach den iTunes-Account eines anderen Nutzers übernehmen konnte und nun auf dessen Kosten Produkte downloaden könnte. Es wird für das Zurücksetzen des Passworts keine Sicherheitsabfrage präsentiert, obwohl diese Daten im Account durchaus angegeben waren. Ich halte das für fahrlässig.

Ich werde als nächste Schritte Apple und den Nutzer von dem Vorgang informieren. Wenn etwas zurück kommt, werdet ihr es hier lesen können.

Apfelzecken

Diese ach so tolle und freundliche Firma Apple ist ja wohl echt ein kompletter Zeckenverein. Nicht nur, dass die einem Safari-Updates aufdrängen, nur weil man mal iTunes abonniert hat. Nein, die verzichten auch auf ein Double-Opt-In für den iTunes-Store, weswegen ich jetzt einen Account dort habe, den irgendjemand heute (mal wieder) irrtümlich mit meiner alten Emailadresse vorname@grosserprovider.de eingerichtet hat.

In der Anmeldemail gibt’s keinen Passus „Wenn Sie diese Anmeldung nicht vorgenommen haben….“ oder „Bitte klicken Sie hier, um Ihre Anmeldung zu aktiveren…“ oder überhaupt nur ein Link „Falls Sie keine Mails mehr von uns erhalten wollen, dann…“. Nichts. Ich bin da jetzt drin und werde die wohl verklagen müssen, um rauskommen. Wahrscheinlich muss ich froh sein, wenn ich jetzt nicht von Remote das neue MacOS auf’s System gepusht bekomme, oder sowas. Aber wenn die sich da mal nicht in mir täuschen, dafür geh ich bis nach Karlsruhe!

Und das soll jetzt die Firma sein, die dem großen bösen Monopolisten aus dem Nordwesten entgegentritt? Selber Elche!

</rant>

P.S.: Die Geschichte ging weiter: Wie nachlässig Apple iTunes Kundendaten schützt.

Bestellen auf deutsch, reklamieren nur auf englisch

Ich bekomme, wie aufgrund meiner recht einfach strukturierten Emailadresse vorname@großerprovider.de schon oft passiert, eine Anmeldebestätigung zu einem Portal, das ich vorher nicht mal kannte:

Hallo,
Danke, dass Du Dich für den Nobex Radio Companion entschieden hast!

Nobex Radio Companion ermöglicht Dir:

[blabla ausführliche, deutsche Leistungsbeschreibung gelöscht blablabla]

P.S. Falls Sie der Auffassung sind, dass Sie diese Mitteilung irrtümlich erhalten haben, kontaktieren Sie uns bitte unter support@nobexinc.com. Wir entschuldigen uns für die aufgetretenen Unannehmlichkeiten.

Ich schreibe eine Mail an support@nobexinc.com:

ich habe diese meldung irrtümlich erhalten. bitte löschen sie meine emailadresse vorname@großerprovider.de aus ihren daten.

viele grüße,
[surfguard]

Man antwortet mir:

Hi,

Thanks for contacting us!

We are sorry, at the moment we only have support in English.

Please make sure that your TCP settings are setup correctly.

From the BlackBerry home screen go to Options -> Advanced Options -> TCP

Appropriate settings for this screen can be found in the following websites:

http://www.pinstack.com/carrier_settings_apn_gateway.html

http://phoneontherun.com/
Cheers,

Mike
Nobex Technologies

Nettes Angebot auf deutsch, Fehler zu korrigieren, udn dann nicht mal einfachstes Deutsch gerade durch Google Translate jagen können? Geschickte Taktik: Verkaufen geht in allen Sprachen, Reklamieren aber nicht.

Und was haben meine blöden TCP-Settings damit zu tun, dass die kein Deutsch verstehen?

Triple Opt-Out

Die hätte ich ja nun endgültig Bock abzumahnen: Preis-festival.de, die Erfinder des Exkulpativen Triple-Opt-Out-Verfahrens™.

Jemand anders hat irrtümlich meine Emailadresse bei einem Newsletter angemeldet. Die Mail an mich:

Hallo Herr [Name gelöscht],

herzlichen Dank für Ihre Teilnahme bei Preis-festival.de. Mit ein wenig Glück sind Sie bald Gewinner eines tollen Preises!

Bitte reagieren Sie nicht auf diese e-Mail.

Wenn Sie von Ihrer Teilnahme absehen wollen, klicken Sie dann bitte diesen Link:

Ich möchte NICHT teilnehmen.

Ich folge dem Link sogar und werde mit diesem Abmeldeformular konfrontiert:

Hallo Herr, Frau,

Sie wollen sich für den Preis-festival.de-Newsletter abmelden.

Wir bedauern Abschied von Ihnen nehmen zu müssen. Wir möchten Sie freundlich bitten die Begründung Ihrer Abmeldung anzugeben, damit wir unsere Dienstleistung optimalisieren können.

[Eingabefeld] (maximal 200 Zeichen)

Bitte geben Sie hier die betreffende E-Mailadresse ein:
[Eingabefeld]

Sie werden nach dieser Eingabe eine E-Mail erhalten, in der Sie bitte die Abmeldung bestätigen. Danach werden wir Ihre Daten löschen.

Ich verstehe das richtig:
1. Ich kann nicht rein-opten, in deren Newsletter, ich muss explizit raus-opten.
2. Zum Opt-Out muss ich eine Begründung angeben.
3. Das Opt-Out soll ich anschließend noch mal explizit bestätigen.

Ich glaube, die bekommen Post von mir. Da reg ich mich jetzt mal drüber auf.

Ich bin nicht Dani

Mal wieder eine Mail an meinen allseits beliebten Mailaccount mein_richtiger_vorname@populärer_provider.de:

Hi Dani, habe gerade mal ausgerechnet was ich beim Legler bestellen würde. Ohne MWst.45,72 €.
Liebe Grüße Birgit

Hier gibt es gleich zwei Merkwürdigkeiten:

  1. Anhand meiner Emailadresse würde man nun wirklich nicht auf den Gedanken kommen, dass sich hinter ihr jemand mit dem Namen „Dani“ versteckt.
  2. Dafür würde man aber auch anhand des Absenders („Heinz K.“) nicht auf den Gedanken kommen, dass sich dahinter mit Namen Birgit versteckt.

Seltsam? Aber so steht es geschrieben!

5€ zu verschenken

Hey, zum ersten Mal profitiere ich von meiner populären Emailadresse, die viele Leute zu besitzen glauben:

Lieber DATA BECKER Kunde,

als Dankeschön für die Registrierung Ihres DATA BECKER Produkts erhalten Sie einen Gutschein im Wert von 5,00 Euro, den Sie in unserem Onlineshop auf http://www.databecker.de einlösen können.

Ihr Gutschein-Code lautet:
FC21[…]DB

Na geht doch! Einziger Haken:

Der Gutschein kann bis zum 16.04.2006 eingelöst werden.

Kleines Problem auch, dass ich gar kein DATA BECKER-Produkt haben möchte… web to date hab ich ja schon.

Irgendjemand Interesse?