Afgelopen weekend en eerder vandaag schreven we over Mat Honan, een techjournalist die een groot deel van zijn data verloor nadat zijn iCloud-account werd gehackt. De hack zorgde er zelfs voor dat zijn iPhone, iPad en MacBook op afstand gewist werden. In een reactie op Honan zegt Apple te gaan kijken hoe makkelijk het is om iemands wachtwoord te achterhalen. Daarnaast zou Apple’s beleid niet zijn gehandhaafd toen de hacker het wachtwoord wist te ontfutselen. Vooral dat laatste is opmerkelijk: de hacker drong namelijk binnen via AppleCare.
Honan’s hacker wist het wachtwoord voor iCloud te resetten, omdat hij al toegang had gekregen tot zijn Amazon-account. De informatie in deze account kon gebruikt worden om een wachtwoordreset uit te voeren. Volgens Apple zorgde dit ook voor een uitzonderlijke situatie. Normaal gesproken moet je namelijk vertrouwelijke informatie hebben om een wachtwoordreset uit te voeren, iets waar niet iedereen toegang tot heeft. Apple stelt het volgende tegenover Honan:
Apple neemt de privacy van klanten serieus en vereist meerdere vormen van verificatie voordat je een wachtwoord voor een Apple ID kunt resetten. In dit specifieke geval wist iemand de data van de klant te bemachtigen omdat hij de persoonlijke informatie over deze persoon had verzameld. Daarnaast bleek dat ons interne beleid in dit soort situaties niet volledig is nageleefd. Wij kijken naar al onze processen rond het resetten van accountwachtwoorden om er zeker van de zijn dat data van onze klanten wordt beschermd.
Het is opmerkelijk dat Apple spreekt over interne strubbelingen bij het resetten van Honan’s wachtwoord. Dit weekend bleek dat er contact was opgenomen met AppleCare om het wachtwoord te resetten. Mogelijk zou Apple’s klantenservice niet juist hebben gehandeld, wat ertoe kon leiden dat het wachtwoord werd gereset. Hoewel hierdoor de kans kleiner lijkt dat iedere hacker dit voor elkaar krijgt, laat Honan’s debacle nog steeds de nare gevolgen van een iCloud-hack zien.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Wat ik ervan begrepen heb, is dat het combinatie van social engineering bij zowel Amazon als Apple geweest is. Informatie dat Amazon als irrelevant beschouwt, wordt bij Apple als relevant beschouwd. Een eventuele schuld ligt nog meer bij Amazon omdat het daar erg gemakkelijk is om een nieuwe creditcard aan je account te koppelen. Het gehele verhaal.
Nog opmerkelijker is dat Apple het boetekleed aantrekt. Het toegeven dat er procedures niet goed zijn gevolgd, is uitzonderlijk.
Wat ook de oorzaak is geweest, het feit dat Mat Honan geen meerdere back ups had van zijn data, vind ik net zo verwijtbaar als het mogelijk lakse gedrag van AppleCare. Zeker een man van zijn statuur moet weten dat accounts van publieke figuren en financiële, militaire en gouvernementele instellingen zich in een niet aflatende interesse van hackers mogen verheugen.
@Richard:
Zeer interessante link! Bedankt!