Flo's Weblog | Apple News and more... Alles über Apple und Gadgets

Wann immer man Dinge online tut oder Konten auf Servern im Internet hat, sollte man sich darüber im Klaren sein, dass hierbei immer das Risiko besteht, dass diese Konten oder die übertragenen Inhalte auch angegriffen werden können. Dabei ist es aus technischer Sicht auch völlig egal, von welchem Anbieter die jeweilige Dienstleistung betrieben wird. So ist auch Apple nicht dvor gefeit und war erst kürzlich von einem Problem betroffen, wie BuzzFeed News berichtet. Demnach konnten durch eine Sicherheitslücke in Apples Online Store die PINs von über 72 Millionen T-Mobile Nutzern in den USA abgegriffen werden.

Die Lücke wurde von den beiden Sicherheitsforschern Phobia und Nicholas Ceraolo entdeckt. Dieselbe Lücke wurde zudem auch auf der Webseite des Telefon-Versicherers Asurion gefunden, wodurch die PINs von AT&T-Nutzern einsehbar waren. Beide Webseiten-Betreiber haben das Sicherheitsproblem inzwischen behoben und bedankten sich bei den Forschern für die Entdeckung. Der Angriff erfolgte offenbar auf Basis einer simplen "Brute-Force-Attacke", bei der automatisiert verschiedene Kombinationen von Zahlen in kürzester Zeit auf der Webseite eingegeben werden, bis die richtige gefunden ist.

Bei den PINs handelt es sich in den USA um eine zusätzliche Sicherheitsmaßnahme, für den Fall, dass das Supportpersonal Änderungen an einem Nutzeraccount vornehmen muss und hierfür eine Authentifizierung des Nutzers benötigt. Auf diese Weise möchte man dem sogennanten "Social Engineering" begegnen, mit dem es Angreifer immer wieder versuchen, sich Zugang zu einer SIM oder Telefonnummer zu verschaffen. Deutsche Kunden waren von dem Problem nicht betroffen.