Forum

Florian

  • Verderbliche Ware!
Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
September 08, 2011, 01:58:51
Macworld hat einen längeren Artikel zu gekaperten iTunes-Accounts online gestellt.

Scheinbar gibt es nach wie vor zahlreiche Betrugsfälle, die Accounts, v.a. auf Guthabenbasis, werden mit Käufen belastet, die der Kunde nicht veranlasst hat.
Die plausibelste Erklärung ist natürlich Phishing. Wurden die Kunden also unter Vorspiegelung falscher Tatsachen zur Herausgabe ihres Passworts gebracht? Oder werden Brute-Force-Attacken auf den Appstore gefahren und sind überdurchschnittlich erfolgreich? Oder hat doch der Appstore einen Fehler und Apple findet ihn nicht?
Kommt vielleicht alles zusammen?

Apple äußert sich nicht groß zur Sache und deutet nur an, man sei der Meinung die Kunden haben das Passwort herausgegeben. Oft mit den geklauten Credits gekaufte Apps wurden aber entfernt, auch dazu kein Kommentar.
Der Artikel weist auf eine Menge merkwürdige Umstände hin. Warum wurde der Wohnort der Opfer anfangs oft in Towson geändert? Warum sind viele der Transaktionen In-App-Käufe innerhalb eines Spiels vom seriösen Anbieter Sega? Wie kann ein schon gesperrter Account noch belastet werden?

Insgesamt unbefriedigend.

Jedenfalls sollte man als Kunde immer überprüfen - wenn eine Mail eintrudelt - ob man die App wirklich gekauft hat. Blöd nur wenn man mal länger offline ist. Immerhin leistet Apple scheinbar generell still und leise Ausgleich. Zumindest bei der ersten Meldung.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #1: September 08, 2011, 12:56:42
Nun ja, Problem ist doch, dass man nichts weiß. Weder wie es passiert, noch ob es ungewöhnlich viele Fälle sind. Deshalb finde ich auch die Aussage "Oder werden Brute-Force-Attacken auf den Appstore gefahren und sind überdurchschnittlich erfolgreich?" nicht richtig. Warum überdurchschnittlich erfolgreich?

Gekaperte Accounts gibt es überall (Amazon, eBay...). Liegt in der Natur der Sache, dass Leute schlechte Passwörter haben und daher gekapert werden. Ob noch andere Gründe dahinter stecken, weiß keiner und Hinweise gibt es auch öffentlich keine, oder?

Das es nur wegen dem Apple ein größeres Medienecho findet, ist klar. Was wurde nur bei dem "Locationgate" für Unsinn geschrieben. Und jetzt wo bei Android oder Windows Phone (habe vergessen bei wem es der Fall ist), trotz abgeschalteter Ortungsfunktion sogar Positionsdaten geloggt und übertragen werden, interessiert es niemanden. Ist ja nicht Apple...
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #2: September 08, 2011, 13:34:15
Natürlich ist eine große Portion Spekulation. Wenn man den Artikel liest, erkennt man aber doch zahlreiche Merkwürdigkeiten. Was soll das mit der Änderung des Wohnorts etc.? Warum werden eher Guthaben als Kreditkarten angezapft? Was sollen diese In-App-Käufe?
Wie bei den Banken wird das Thema einfach totgeschwiegen und still bereinigt durch Kundenentschädigung.
Zu Brute Force: Ich schrieb „überdurchschnittlich erfolgreich“, weil der Appstore sich ja nach einer gewissen Anzahl verweigert.  Natürlich kenne ich die Zahlen nicht, aber hier in Deutschland war es zeitweise sogar so, dass man sich bei Firstgate/Click&Buy neu legitimieren musste. Für kurze Zeit konnte man sogar gar keine Geschenke mehr machen. Zumindest liest man davon. Einzelfälle sind das also wohl nicht mehr.

Das die Macworld über Apple berichtet, ist ja wohl irgendwo normal. Ich dachte auch erst „FUD!“, aber Apple bräuchte ja nur mal bisschen Transparenz walten lassen, wenn nichts dran ist.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #3: September 08, 2011, 13:54:19
Tja, Transparenz und Apple, da treffen wahrscheinlich zwei Welten aufeinander. :)

Aber es ist eben wie bei allen anderen Online-Shops (Amazon, eBay etc.) auch. Das Thema wird totgeschwiegen oder verleugnet, teilweise sogar ohne Kundenentschädigung. Schau Dir mal eBay/PayPal an.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #4: September 08, 2011, 19:34:39
Schau Dir mal eBay/PayPal an.

Du hast schon recht, aber wie gesagt, von solchen Merkwürdigkeiten habe ich noch nirgends gehört. Das ist doch alles schon recht seltsam.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #5: November 07, 2011, 20:31:40
Abzock App umsatzstärkste iPad App - laut diesem - Verzeihung - eher dämlichen Artikel:
http://www.spiegel.de/netzwelt/apps/0,1518,796353,00.html

Link berichtigt
« Letzte Änderung: November 07, 2011, 21:19:16 von Florian »

Florian

  • Verderbliche Ware!
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #6: November 07, 2011, 21:25:32
Habe schnell Deinen Link korrigiert, er hatte ein Anhängsel hinter dem html.

Folgerung des Autors bleibt wenigstens richtig: Gutes Passwort und niemals herausgeben ausserhalb des Stores.

In der Hoffnung, dass nicht doch bei Apple selbst auch ein Fehler liegt.
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #7: November 08, 2011, 08:56:36
Der Artikel ist wirklich großer Unsinn.
Effektiv schreiben sie doch selber, dass die Gauner anscheinend über ihnen bekannte Kennwörter verfügen. Entweder weil sie die direkt kennen oder weil derjenige überall das gleiche Kennwort verwendet. Gegen einfaches Durchprobieren (also Wörterbuchattacke z.B. ) hat Apple einen Riegel vorgeschoben, wie sie selber schreiben.

Wenn ich E-Mail und Kennwort von irgendjemandem habe, kann ich auch bei Amazon lustig unter fremden Account einkaufen. Böses Amazon.  ::)

Und was der Prüfungsprozess bei Einreichung einer App damit zu tun hat, ist wohl auch nur denen klar. Wie soll denn geprüft werden, dass eine App in Zukunft mit geklauten Accounts gekauft werden soll?

Das einzige, was sie Apple vielleicht vorwerfen können, ist, dass die betroffene App noch drin ist. Wobei es sicher auch nicht so einfach ist, die so ohne handfesten Beweis zu entfernen. Sonst könnte man mit der Methode auch gut Apps unliebsamer Konkurrenz entfernen lassen...
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Verderbliche Ware!
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #8: November 08, 2011, 10:06:12
In dem ersten Beitrag habe ich ja geschrieben, dass auch ein Sega-Spiel stark betroffen ist/war. Die werden wohl kaum mit dahinter stecken, der Sinn der Aktion bleibt unklar.

Über dieses chinesische Spiel wüsste ich gerne mehr. Aber wie suche ich danach?
_______
Beitrag frei Haus geliefert. Frisch von der Apfelinsel.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #9: Januar 13, 2012, 21:15:25
Account-Missbrauch im App Store - Mac & i erläutert die Hintergründe und zeigt, was Betroffene in einem solchen Fall tun sollten:
http://www.heise.de/mac-and-i/artikel/Account-Missbrauch-im-App-Store-1406782.html  ff

DBe001

  • Wer lesen kann, ist klar im Vorteil.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #10: Januar 14, 2012, 00:03:09
Ich war auch betroffen, aber garantiert nicht durch Pishing oder dergleichen.
Weiß bis heute nicht, warum.
_______
Wer lesen kann, ist klar im Vorteil! Und deshalb überlese ich alle Windowsbeiträge.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #11: Januar 14, 2012, 07:13:49
Es bleiben noch zwei Möglichkeiten neben Phishing:
- Hast Du Benutzername/Kennwort-Kombination auch woanders benutzt?
- Hast Du schon einmal was gekauft, als Du in einem unverschlüsseltem WLAN warst?

Andere Frage: Was hast Du als Zahlungsmethode hinterlegt?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

DBe001

  • Wer lesen kann, ist klar im Vorteil.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #12: Januar 14, 2012, 11:58:40
Zu 1. Ja
Zu 2. Nein

Gutscheine
_______
Wer lesen kann, ist klar im Vorteil! Und deshalb überlese ich alle Windowsbeiträge.
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #13: Januar 14, 2012, 12:20:07
Zu 1. Ja

Das ist einer der aktuell drei bekannten möglichen Gründe.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Towson Hack: Was steckt hinter gekaperten iTunes-Accounts?
Antwort #14: Januar 21, 2012, 20:17:43
Neue XSS-Schwachstelle im Store:
http://winfuture.mobi/news/67711