Die am Wochenende aufgetauchten Promifotos, die offensichtlich aus den privaten Smartphones der Promis stammen, sind offensichtlich aus den iCloud-Konten der Betroffenen gesaugt worden. Wie es aussieht, haben die Opfer ein zu schlichtes Passwort benutzt – und sind Opfer einer Brute Force Attacke geworden. Das sollte uns allen eine Lehre sein.
Wie unangenehm es sein kann, wenn die eigenen Fotos in die Öffentlichkeit gelangen, zeigt das aktuelle Beispiel: Fotos von rund 100 Promis sind ins Netz gelangt. Von Anfang an wurde vermutet, dass Hacker sich Zugang zu den iCloud-Konten der Betroffenen verschafft haben.
Wie es aussieht, ist es wohl wirklich so. Es ist ein Skript im Netz aufgetaucht, das die Angreifer verwendet haben sollen und Angriffe auf den iCloud-Dienst von Apple unterstützt. Experten berichten, dass Apple bis vor kurzem bei der Find-My-iPhone-Funktion keine Bremse eingebaut. Die Folge: Angreifer können beliebig viele Passwörter ausprobieren. Zehn pro Sekunde.
Wenn man nur lange genug probiert, wird man fündig. Auf der Webseite von iCloud geht das nicht so ohne weiteres, nach zu vielen Fehlversuchen wird das Konto gesperrt und muss über die eigene E-Mail-Adresse entsperrt werden. Über die Programmierschnittstelle gab es diese EInschränkung nicht – eine Einladung ein Datendiebe. Mittlerweile hat Apple das Leck wohl geschlossen.
Das Leck alleine würde aber nicht ausreichen, um die in iCloud-Konten von Promis zu gelangen. Die Promis haben es den Datendieben leicht gemacht: Sie haben viel zu kurze und viel zu einfache Passwörter gewählt. Denn mit der Brute Force Methode lassen sich lediglich rund eine Million Passwörter am Tag ausprobieren (oder besser: ließen sich ausprobieren, denn das Leck wurde ja gestopft). Wenn man ein langes Passwort mit 10 bis 12 Zeichen benutzt, eine Kombination aus Klein- und Großbuchstabem und Sonderzeichen, dann müsste man wochen-, wenn nicht monatelang probieren, bis das Konto geknackt ist.
Es bringt also eine ganze Menge, ein langes und komplexes Passwort zu wählen. Abgesehen davon gibt es bei Apple iCloud auch die 2-Wege-Authentifizierung. Wer die verwendet, hätte ebenfalls nicht zum Opfer werden können.