Nach Betrugsvorfall: Apple und Amazon verstärken Support-Richtlinien

Ab sofort kann bei Apple kein Passwort mehr über einen Anruf beim Support zurückgesetzt werden. Ob das immer so bleibt, ist scheinbar nicht bis ins letzte Detail geklärt.  Das berichtet der Standard in einer Serie an Artikeln. Apple soll aktuell damit beschäftigt sein, ein internes "Wartungsupdate" durchzuführen. Amazon überarbeitete die Richtlinien für sein Kundenzentrum ebenfalls. Den Maßnahmen war ein Vorfall des "Wired"-Journalisten Mat Honan vorausgegangen.

Zugriff auf mehrere Konten

Der Journalist hatte seine Kontrolle über einige Accounts verloren und konnte nicht auf seine Daten an MacBook, iPhone oder iPad zugreifen, da dem Anschein nach alle Geräte zurückgesetzt waren. Unter anderem erlangten die Betrüger neben seinem Gmail- und Amazonkonto Kontrolle über seinen Twitteraccount, der unglücklicherweise direkt mit dem Konto von Gizmodo verbunden war. Über den 415.000 Follower starken Account verschickten die Eindringlinge rassistische Tweets.

Daten geschickt gesammelt

Die Betrüger kamen über einen Support-Angestellten bei Amazon soweit an wichtige Daten, dass sie schließlich die volle Kontrolle über das Konto von Honan erlangen konnten. Diesem ging voraus, dass sich der Eindringling auf dem Twitteraccount des Journalisten umgesehen hatte. Durch eine verlinkte Webseite stieß die Person auf die Gmail-Adresse des Opfers. Mittels dem Wiederherstellungsprozess für Passwörter bei Gmail konnte der Hacker die Apple-ID einsehen, die er nur am ersten und letzten Buchstaben des Wortes erkannte, da der Rest verschleiert war. Über eine bestimmte Abfrage im Internet konnte der Betrüger noch die Adresse des Journalisten ausfindig machen.

Erfolgreicher Log-in

Dann rief ein Komplize bei Amazon an und konnte sich dank der Daten als Mat Honan ausweisen. Dadurch konnte er eine erfundene Kreditkartennummer ergänzen und übernahm in einem weiteren Anruf das Konto, indem er angab, nicht mehr auf dieses Zugriff erlangen zu können. Zur Authentifizieurng musste er die gesammelten und selbst eingetragenen Informationen angeben. Nach einem Log-in konnte er die letzten vier Ziffern der echten Kreditkartennummer sehen und sich damit in ähnlicher Art und Weise bei Apple autorisieren. Hier sollen Adresse und die letzten vier Ziffern seiner Kreditkarte ausgereicht haben. Der Journalist selbst musste allerdings eingestehen, dass er seine Konten "leichtfertig miteinander verknüpft" hatte.

Mittlerweile sollen die im Fall abgegebenen Informationen bei Amazon nicht mehr reichen, um ein Passwort zurücksetzen zu lassen. Apple musste einen Fehler eingestehen und soll erklärt haben, dass die "internen Richtlinien nicht vollständig" befolgt worden seien.