Exploit: Passwort für Apple-ID kann mit Geburtsdatum und E-Mail-Adresse zurückgesetzt werden

Habt ihr die Zwei-Faktor-Authentifizierung für eure Apple ID schon eingerichtet? Natürlich nicht, aber solltet ihr vielleicht, sobald sie auch für uns verfügbar wird. Ein Bericht von The Verge zeigt, dass ohne Zwei-Faktor-Authentifizierung Hacker in der Lage sind, euer Passwort mit nicht mehr als eurer E-Mail-Adresse und eurem Geburtsdatum zu ändern. Fieser Exploit.

Wie es scheint, kann mit Hilfe einer modifizierten URL und der folgenden Eingabe des korrekten Geburtsdatums als Antwort auf eine Sicherheitsfrage das Passwort für die Apple ID ganz einfach resettet werden. Es soll wohl eine Schritt-für-Schritt-Anleitung für den Exploit geben, allerdings hat The Verge aus Sicherheitsgründen nicht darauf verlinken wollen. Der Exploit betrifft offensichtlich nur Accounts, die die Zwei-Faktor-Authentifizierung noch nicht nutzen.

Aufgrund der relativen Geheimhaltung des Exploits waren wir nicht in der Lage, ihn aus erster Hand zu bestätigen. Allerdings solltet ihr schon aufgrund der generellen Sicherheit die Zwei-Faktor-Authentifizierung aktivieren, so bald es geht. Einige Nutzer berichten, dass es bis zu drei Tagen dauert, bis die Verifizierung erfolgt ist, daher solltet ihr zur Sicherheit euer Geburtsdatum auf einen Tag setzen, an dem ihr eben nicht Geburtstag habt. Dies könnt ihr unter euren Kontoeinstellungen ganz unten auf der Seite vornehmen. [The Verge, via Gizmodo.com]

Update: Das Passwort-Reset-Tool von Apple ist gerade für Wartungsarbeiten offline, wir können also nur vermuten, dass da eventuelle Sicherheitslöcher gerade gestopft werden.

Tags :
    1. Fragt sich, wer hier das Opfer ist? Wenn ich mir den Text durchlese, dann definitiv du. Außerdem gibt es das noch nicht, wo hier die Betonung auf noch liegt.

  1. es gab nie viren für apple und hacker, die probleme machen.
    apple ist daran schuld. sie haben smartphones und tablets herausgebracht.
    sogar linux war betroffen.

    oh man…

      1. Danke Gizmodo, dass ihr Beiträge erst nach 16 Std. freischaltet, nur weil das Wort Website, oder URL verwendet wurde. Nun halt doppelt.

  2. Diese Lücke ist spätestens seit Freitag, 22.03., 7 p. m. PST bzw. Samstag, 23.03., 4 Uhr MEZ geschlossen.
    appleinsider.com/articles/13/03/22/apple-working-on-fix-for-password-security-hole
    Kurz vor 12 Uhr berichtete dann MTN über die Schliessung.
    mactechnews.de/news/article/Apple-schliesst-gefaehrliche-Sicherheitsluecke-beim-Passwort-Reset-155355.html
    Mehr als 6 Stunden später tut Gräßler so, als wäre die Lücke immer noch offen bzw. würde – “wir können also nur vermuten…” – gerade geschlossen werden. WTF?
    Wie nennt man solch dummdreistes Verhalten?

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising