Gehackte Accounts?

Wäre interessant, ob diese Sicherheitslücke mit den gehackten Accounts zusammenhängt. Falls dem so wäre, ist dieses Loch nun gestopft.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

ja, is so... Die hacker haben sich exakt diese Website zur Hilfe genommen um einzudringen...

Angenommen, es wäre so, dann lässt das erkennen, wie akribisch Apple der Sache nachgegangen ist. Es müssen also alle Daten, die im Zusammenhang mit den gefälschten Einkäufen anfielen, abrufbar und analysierbar gewesen sein.

Nichts leichter als das, wenn es eine Sicherheitslücke ermöglicht, ausführbaren Code einzuschleusen.

Sichere Software gibt es nicht. Es ist immer nur eine Frage der Zeit, bis Lücken gefunden werden.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Es gab nie gehackte Accounts – die Accounts wurden durch Phishing-Mails gekapert, auf die die Nutzer reingefallen sind und freiwillig ihre Zugangsdaten angegeben haben. Mit iTunes hat das herzlich wenig zu tun.

Quelle? Und nein, Apples Angaben sind nicht relevant!

Doch, Apples Angaben sind sehr wohl relevant, da ein so großes börsennotiertes Unternehmen bei solchen Sachen nicht lügen kann.

Davon abgesehen sollte es auch so klar sein, dass – sollte es eine solche Sicherheitslücke gegeben haben – diese bei Apple auf dem Server hätte gewesen sein müssen. iTunes ist ja nur die lokale Software und wen da jemand oder etwas Zugriff auf den Rechner hat, kann er sowieso die Passwörter aus iTunes oder jeden anderen Software auslesen.

Einzige die in iTunes behobene Sicherheitslücke, die theoretisch die Ausführung von Code über iptc erlaubt, hätte in diesem Zusammenhang für Angriffe mit relevant sein können. Da es aber wohl keinen funktionierenden Exploit dafür gibt, kann man damit nur iTunes abstürzen lassen und nicht den Rechner übernehmen.

Alles in Allem ist die Aussage von Apple, dass es sich um Phishing-Opfer handelt, sehr wahrscheinlich und passt auch eher zu der Anzahl der übernommenen Accounts. Außerdem gibt es AFAIK Berichte von Betroffenen, die dies auch bestätigen.

Netspy schrieb:
--------------------------------------------------------------------------------
> Doch, Apples Angaben sind sehr wohl relevant, da ein so großes
> börsennotiertes Unternehmen bei solchen Sachen nicht lügen kann.

Soll das ein Witz sein? BP hat gelogen. Siemens hat gelogen. GM hat gelogen. Lügende Unternehmen sind Standard. Die Börsennotierung ist dabei völlig irrelevant. Wenn Du glaubst, börsennotierte Unternehmen lügen nicht, dann glaubst Du auch an den Weihnachtsmann. Sorry, aber als Argument ist "Börsennotierung" wertlos.

Wenn das nicht reicht: Shell, Lockhead, Boing, Airbus, VW, Microsoft, IBM, AT&T, Nortel

Die Liste ließe sich beliebig fortsetzen. Dürfte keine größere Firma geben, die nicht regelmässig die Unwahrheit sagt. Ist einfach nötig. Die Börsen WOLLEN angelogen werden. Dort stimmt sowieso nichts mehr. Schon gewußt, dass knapp 70% des an den Börsen gehandelten Silbers garnicht existiert? Es ist, sozusagen, virtuell, und hat keinen realen Gegenwert (Silberbarren etc.). Hält den Silberpreis künstlich niedrig.
Wer sollte sich in einem solchen Umfeld an einer Lüge stören? Tun dort sowieso alle.

> Davon abgesehen sollte es auch so klar sein, dass – sollte es eine solche
> Sicherheitslücke gegeben haben – diese bei Apple auf dem Server hätte
> gewesen sein müssen. iTunes ist ja nur die lokale Software und wen da
> jemand oder etwas Zugriff auf den Rechner hat, kann er sowieso die
> Passwörter aus iTunes oder jeden anderen Software auslesen.

Einen Sicherheitsfilter, der abnorme Veränderungen in den Verkaufsrankings registriert und Alarm schlägt, hatten sie jedenfalls nicht. Sowas kann Dir ein fitter Coder in einer Stunde basteln. Aber selbst das war Apple wohl zu teuer. Als erste haben Blogger darüber berichtet. Tagelang hat Apple also nicht gemerkt, dass plötzlich die Top50 von 40 vietnamesischen Programmen des selben Herstellers belegt waren. Jämmerlich. Ist im Grunde, wie wenn der Supermarkt nicht merkt, dass plötzlich nur noch Persil gekauft wird und der Rest in den Regalen bleibt. Seinen eigenen Laden sollte man schon kennen, sonst wird es peinlich.

Außerdem: ein Trojaner kann genauso verschickt werden wie eine Phishingmail und erreicht im Zweifel auch ähnlich viele (wenige...) Opfer. Je nachdem, wie Apple innerhalb von iTunes mit den Userdaten umgeht, kann man die dann relativ problemlos von außen abgreifen oder muss eben Keylogger nutzen. Merke: für MacOS gibts kaum Virenscanner und ich kenne keinen Applenutzer, der einen installiert hätte. Ein kleiner Exploit und alle wären tot. Sozusagen.

> Einzige die in iTunes behobene Sicherheitslücke, die theoretisch die
> Ausführung von Code über iptc erlaubt, hätte in diesem Zusammenhang für
> Angriffe mit relevant sein können. Da es aber wohl keinen funktionierenden
> Exploit dafür gibt, kann man damit nur iTunes abstürzen lassen und nicht
> den Rechner übernehmen.

Wenn ich böswillig wäre und das Knowhow hätte, würde ich Code, der Eploits nutzt, nie und nimmer veröffentlichen.

Ist bei "Profi"-Hackern wohl mittlerweile usus. Die werden gemietet und greifen bestimmte Leute(Firmen) an. Ihr Wissen geben die nur sehr ungern weiter.
Andere haben sich darauf spezialisiert, relativ wenige Opfer böse zu erpresen bzw. deren Computer nach Bankdaten etc. abzusuchen. Klasse statt Masse.

Man denke nur mal an den komischen Webcam-Spanner, der unlängst einige dutzend Mädchen zuhause gefilmt hat. Der hatte, sozusagen, nur eine kleine Anzahl Opfer und war an Masse offensichtlich nicht interessiert. Hat sich die jeweiligen Mädels sogar vorher angeguckt (Facebook, StudiVZ usw.) und vermutlich nach bestimmten Kriterien (hübsch oder nicht...) ausgewählt.

Warum sollten vietnamesische Hacker oder Coder anders verfahren? Vielleicht ging es denen auch eher um Klasse als um Masse?

> Alles in Allem ist die Aussage von Apple, dass es sich um Phishing-Opfer
> handelt, sehr wahrscheinlich und passt auch eher zu der Anzahl der
> übernommenen Accounts. Außerdem gibt es AFAIK Berichte von Betroffenen, die
> dies auch bestätigen.

Ein Freund von mir hat Bankensoftware mitentwickelt und nutzt nie Online-Banking. O-Ton: "Ich kenn' diese Software ja. Bin doch nicht verrückt!" Sagt wohl alles...

Apple mag recht haben, aber genau weiß es nur ein Vietnamese, der sicherlich nichts dazu sagen mag und eine Anzahl Kunden, denen es peinlich ist, betrogen worde zu sein und die deshalb vermutlich auch lieber schweigen.

Octane2 schrieb:
--------------------------------------------------------------------------------
>
> … wilde Vermutungen, Halbwahrheiten, Verschwörungstheorien …

Ich lass dich mal lieber alleine in deine Welt.

Netspy schrieb:
--------------------------------------------------------------------------------
> Ich lass dich mal lieber alleine in deine Welt.

Keine Argumente mehr? Na dann...

Ich habe, im Übrigen, keine Vermutung oder Halbwahrheit geäußert und von Verschwörungstheorien halte ich nichts.

Das börsennotierte Firmen lügen ist Fakt. Passiert ständig und wird selten geandet. Im schlimmsten Fall kommt eine geringe Strafe von der Börsenaufsicht. Was anderes zu behaupten zeugt von erstaunlicher Naivität. Siemens musste 500 Mio $ abdrücken, wegen Bestechung. Ist jetzt nicht so relevant, wenn man einige Millarden dank der Bestechungen eingefahren hat. Zugegeben haben sie freiwillig nix und teilweise erstmal ordentlich abgestritten, bis die Beweislast zu hoch wurde. Lockhead hat mehrmals bezüglich Waffensystemen gelogen. Gab nichtmal eine Strafe der Börsenaufsicht. Ein paar Senatoren wollten eine Untersuchung, aber dazu kams nicht.

Aktuelles Beispiel: die DB. Ist zwar nicht Börsennotiert, verhält sich aber so. Haben über die Temperaturen in ihren Waggons gelogen (50°C angeblich, 70°C in Wirklichkeit...).

Gab auch mal eine Firma namens Mobilcom. Die haben auch oft und gerne gelogen.
Könnte beliebig weitermachen, wenn ich wollte. Deine Aussage, dass börsennotierte Unternehmen NICHT lügen, ist und bleibt Schwachsinn. Siehs ein...

Merke: Gesetze, deren Befolgung sowieso nicht erzwungen wird, sind sinnlos. Wie die Börsengesetzgebung.

Des weiteren: das vor allem osteuropäische Hacker Auftragsarbeiten und gezielte Erpressungen durchführen, ist ebenfalls Fakt. Einfach mal bei BKA nachfragen oder deren Homepage aufsuchen. Ist ein Wachstumsmarkt, wenn man so will. Gerne Firmen (die meistens wohl zahlen...) und manchmal Privatpersonen. Meistens klauen sie Passwörter, ändern sie und verlagen Lösegeld für die neuen. Schlecht, wenn es zb. die Rechner in der Buchhaltung trifft. Hinterher schämen sich die Firmen und schweigen, weil sie nicht als unsicher und/oder unfähig gelten wollen.

Das selbige Hacker fitter sind als Scriptkiddies und ihre Werkzeuge hüten, ist ebenfalls Fakt. Ist deren Firmengeheimnis, die leben davon. Warum also Hersteller schneller als nötig aufmerksam machen? Selbst eine Stunde Vorlauf reicht mithin für nette Hacks.

Das Würmer auf Macs gut laufen, wurde auch schon bewiesen. Bisher waren es allerdings noch freundliche Würmer, die sich nur verbreitet aber keinen Schaden angerichtet haben. Wie wurde man sie los? Per Konsole. Was für viele Applenutzer ein großes Hindernis darstellte. Virenscanner sind bei OSX eine Rarität. Wird sich allerdings mit zunehmender Verbreitung schnell ändern. Zumal Apple für Patches etwa doppelt so lange braucht wie Microsoft (Quelle: Wired).

Tja, also nix davon ist unwahr oder eine Halbwahrheit. Keine Ahnung, in welcher Welt Du lebst. Barbies Traumschloss vielleicht? Oder dem Lebkuchenhaus? Jedenfalls scheinst Du keine Nachrichten zu lesen oder zu schauen bzw. Dich sonstwie zu informieren. Anders kann man Deine selbstgerechte und naive Weltsicht nicht erklären.