Opinie: Waarom Apple miljoenen iCloud-accounts zou moeten resetten (maar dat waarschijnlijk niet doet)
· Laatst bijgewerkt:
Apple zit met een probleem: een hackersgroep beweert miljoenen inloggegevens van iCloud in handen te hebben en dreigt die accounts op 7 april te wissen. Apple kan het probleem op een simpele manier oplossen: door de wachtwoorden te resetten van slecht beveiligde accounts. Maar dat doen ze voorlopig niet.
Update 29 maart: Optie 2 lijkt binnen handbereik te komen. Eén van de betrokken hackers zou zijn opgepakt door de Britse National Crime Agency. Het gaat om een 20-jarige man die deel uitmaakt van de Turkish Crime Family. De politie verdenkt de man van chantage en hacken en heeft elektronica in beslag genomen.
Update 28 maart: Uit een analyse van 70.000 accounts blijkt dat veel data verouderd is. De data zou afkomstig zijn van een hack bij de browsergame Evony (2016) en hacks bij Last.fm en LinkedIn (2012). Dit wekt de indruk dat veel data onbruikbaar is en niet betrekking heeft op iCloud-accounts.
De hackersgroep met de naam Turkish Crime Family zou beschikken over tussen de 250 en 600 miljoen iCloud-gegevens, die ze in de loop der jaren stilletjes hebben verzameld. Sommige accounts dateren uit 2000, toen Apple nog .mac-mailadressen gebruikte. Die gegevens zijn wellicht afkomstig van phishing of gehackte databases van LinkedIn en Yahoo. Er zijn nu eenmaal mensen die hetzelfde wachtwoord gebruiken voor meerdere diensten. Om te ‘bewijzen’ dat ze niet zitten te bluffen gaven de hackers een lijst met inloggegevens van 54 Britse accounts aan ZDNet. Zij konden van 10 accounts vaststellen dat het wachtwoord klopt.
Apple kan nu drie dingen doen:
- Het losgeld van $150.000 in Bitcoin betalen.
- Niets doen. Misschien zitten de hackers te bluffen en gaat het maar om een beperkt aantal accounts, waardoor de schade meevalt. Ook kunnen ze hopen dat de hackers voor 7 april in de kraag worden gevat.
- Alle iCloud-accounts resetten die geen tweestaps- of tweefactorauthenticatie hebben ingeschakeld.
Optie 1: betalen
Optie 1 is de makkelijkste en goedkoopste oplossing voor Apple, maar daarmee geven ze wel toe aan chantage. Er zullen vlak daarna nieuwe hackersgroepen op de stoep staan die óók even snel geld willen halen. Bovendien zou Apple daarmee toegeven dat er een probleem is met de accounts.
Optie 2: niets doen
Optie 2 brengt risico’s met zich mee. Zelfs als de iCloud-accounts van maar een paar duizend mensen worden gewist zit Apple met een gigantisch probleem. Op straat zal het gesprek zijn dat je gegevens bij Apple niet veilig zijn, ook al ligt de oorzaak eigenlijk bij de gebruikers zelf. De slachtoffers zijn voornamelijk slecht-geïnformeerde mensen die wachtwoorden maar ‘gedoe’ vinden en niet willen weten hoe ze hun account beter kunnen beschermen. De pech voor Apple is dat deze groep gebruikers ook het makkelijkst te beïnvloeden is als ze kort-door-de-bocht-verhalen in de voetbalkantine of de sigarenzaak horen.
Voorlopig lijkt Apple voor optie 2 te kiezen en dat werkt tot nu toe goed. Vooral tech-nieuwssites erover geschreven, waardoor het grotendeels ongemerkt aan het gewone publiek voorbijgaat.
Optie 3: wachtwoorden resetten
Optie 3 is wat ons betreft de meest logische, want daarmee lost Apple in één klap het huidige probleem op. Het is niet nodig om alle Apple ID’s te resetten, maar alleen de accounts van mensen die slordig met hun privacy omgaan. Het gaat dan om mensen die aan de volgende drie voorwaarden voldoen. waarvan Apple de eerste twee kan controleren:
- Geen tweestaps- of tweefactorauthenticatie hebben ingesteld.
- En bovendien: al jarenlang hetzelfde wachtwoord gebruiken.
- En die ook: wachtwoorden hergebruiken voor meerdere diensten.
Apple kan weliswaar niet in je iCloud-account kijken, maar ze kunnen ongetwijfeld natrekken welke accounts nog geen tweestaps/tweefactor hebben ingeschakeld en wanneer het wachtwoord voor de laatste keer is gewijzigd. Alleen hergebruik kan Apple niet nagaan.
Bij alle slecht beveiligde accounts die aan de eerste twee voorwaarden voldoen moet Apple het wachtwoord resetten. Wat je overigens vaak ziet is dat bedrijven ervoor kiezen om dan meteen maar door het stof te gaan en álle accounts te resetten, zoals bij LinkedIn gebeurde. Maar dat hoeft eigenlijk niet.
Miljoenen wachtwoorden resetten
Als buitenstaanders kunnen we moeilijk inschatten om hoeveel accounts het gaat, maar het zal waarschijnlijk om miljoenen mensen gaan, die Apple moet confronteren met het vervelende nieuws dat ze wachtwoord opnieuw moeten instellen. Die mensen zullen de oorzaak niet bij zichzelf zoeken, maar ze zullen eerder denken dat Apple de beveiliging niet goed voor elkaar heeft. TNW vroeg zich af waarom Apple niet kiest voor automatisch resetten (zonder daar eeen duidelijk antwoord op te geven), terwijl eigenlijk wel voor de hand ligt. Wachtwoorden resetten levert voor Apple behoorlijk wat imagoschade op, want het ongeïnformeerde publiek zal denken dat iCloud gehackt is. Als je in de techwereld zit lijkt iedereen verstand van computers te hebben en apps zoals 1Password te gebruiken, maar de wereld daarbuiten is nog veel groter.
Het is even door de zure appel heen bijten, maar daarmee heeft Apple het probleem wel weer voor een behoorlijke tijd opgelost. Totdat er weer een groot beveiligingslek bij Yahoo opduikt…
- 2017 - 29 maart: Informatie over opgepakte man toegevoegd.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Waarom de Europese verpakking van iPhones en iPads straks iets extra's krijgt (24-04)
- Apple krijgt 500 miljoen euro boete voor het niet naleven Digital Markets Act, maar gaat in beroep (23-04)
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
iCloud
Alles over iCloud, de online opslagdienst van Apple waarmee je apps kunt synchroniseren en bestanden kunt opslaan. Maar iCloud biedt meer dan alleen online opslag en synchronisatie. Met de betaalde iCloud+ dienst krijg je extra functies, zoals het verbergen van je e-mailadres en privédoorgifte. Je kunt 5GB tot 12TB iCloud-opslag krijgen. Al onze belangrijke informatie over iCloud op een rijtje!
- Alles over iCloud
- iCloud+, de betaalde versie van iCloud met extra functies
- Alles over iCloud Drive
- Storing bij iCloud? Zo vraag je de status op
- Documenten synchroniseren in iCloud
- iCloud Fotobibliotheek gebruiken
- iCloud Muziekbibliotheek gebruiken
- Beveiliging van iCloud-gegevens
- iCloud-opslagruimte delen met gezin
- iCloud-account beheren
- iPhone en iPad backuppen op iCloud
- iCloud-sleutelhanger voor opslaan van wachtwoorden
- Gezinswachtwoorden in iCloud-sleutelhanger
- Privédoorgifte in iCloud: veiliger browsen
- iCloud-opslag uitbreiden (prijzen en meer)
Ook interessant
Hoe goed zijn jouw gegevens in iCloud beveiligd?
Tweefactorauthenticatie voor Apple ID en iCloud: zo werkt het op iOS en macOS [video]
Zo beheer je je Apple ID, iCloud-account en meer op je iPhone en iPad
Zo stel je app-specifieke wachtwoorden voor iCloud in
Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID
Optie een en twee zijn geen optie.. toegeven aan chantage.. nooit, niks doen…echt fout
Maar of optie 3 de enige optie is, dat betwijfel ik ook..
Daarom gebruik ik al sinds dag 1 (dat het beschikbaar kwam) 2-factor. Tegenwoordig gebruik ik overal 2-factor, zelfs bij mijn google diensten.
Ik betwijfel dat de impact bij het niet betalen echt heel groot zal zijn. Als deze groep de gegevens over jaren heeft verzameld, is er bij het gros niets aan de hand. Apple forceert je toch om de zoveel tijd je wachtwoord te veranderen, dus de meeste wachtwoorden die zij hebben zijn verouderd, en als je nog geen tweestapsverificatie hebt geactiveerd dan ben je echt zelf debet eraan dat je slachtoffer kan worden. Los van het feit dat er mensen zijn die verschillende wachtwoorden een gedoe vinden. Je hebt notabele Keychain om je te helpen “onthouden” en als je dat niet vertrouwd dan heb je altijd nog Last Pass om je te helpen.
Ze hebben 250-600 miljoen accounts?
Ze bedreigen Apple?
Ze eisen $ 150.000?
Lijkt mij een schijntje. Zit gewoon een student achter ofzo. Sowieso nooit toegeven aan chantage.
Apple moet zelf maatregelen nemen!
Waarom een probleem willen oplossen dat geen probleem is?
“Om te ‘bewijzen’ dat ze niet zitten te bluffen gaven de hackers een lijst met inloggegevens van 54 Britse accounts aan ZDNet. Zij konden van 10 accounts vaststellen dat het wachtwoord klopt.”
Dit lijkt me niet een echt bewijs. Hoe gemakkelijk kun je zelf 10 accounts aanmaken! De overige 44 accounts hoef je niet eens aangemaakt te hebben want die werken dan zogenaamd niet (omdat ze niet bestaan). In dat geval is $150k snel verdiend!
Als er echt ‘miljoenen accounts’ gehackt zouden zijn, zou het losgeld gemakkelijk een 100-voud kunnen zijn. Het lijkt nu vrij amateuristisch allemaal.
@Kijkwijzer: Ik lees $150.000 bitcoin in het artikel, ik ga er van uit dat dat 150k bitcoins zijn, in dat geval 150 miljoen dollar. Het zou een interpretatiefout kunnen zijn, maar dat lijkt me wel een stuk logischer voor zo’n enorme hoeveelheid accounts.
Zou zelf de optie gebruiken van:
100 zogenaamde accounts met password aanleveren om te zien of ze bluffen. Dan pas daarop een reactie wat te doen.
Nu is het koffiedik kijken.
Buiten deze complete problematiek vraag ik me af waarom het bij diensten als iCloud maar ook Social media accounts niet standaard de regel is dat je eens per bijvoorbeeld 6 maanden je wachtwoord moet wijzigen. Levert frustratie op bij gebruikers, maar iedereen die maar een beetje om zijn privacy geeft zou hier voorstander van moeten zijn.
Ik heb volgens mij 2f nooit ingeschakeld voor de icloud, want ik gebruik die niet (of in elk geval zo minimaal mogelijk; Apple pushed het heel erg en gebruikt het voor alles).
Hoe dan ook, ik log zojuist in en krijg meteen een popup op mijn scherm of ik inloggen wil toestaan. Plus een code die ik moet invoeren. Plus een melding op mijn iphone.
Is dit de 2f waar over wordt gesproken ? Heb ik dat dan toch zelf aangezet ? In elk geval voel ik me nu een stuk veiliger 😉
Gewoon die flapdrollen opsporen en de bak in gooien voor chantage!!
niet dus. je kan rustig jaaaaaaren lang hetzelfde zwakke wachtwoord houden.
@Gijs: Ja, dat is de 2fa
Apple moet de wachtwoorden resetten en de hackers opsporen.
@iDennis: Iedereen die een beetje om zijn privacy geeft kan beter niet actief zijn op sociale media 😉
En meer serieus: de meeste mensen hebben geen idee wat privacy is, wat het betekent, waarom het belangrijk is, etc. Privacy = gedoe. Hoort in het vakje pensioenen en verzekeringen. Het moet blijkbaar, maar liefst zo weinig mogelijk mee te maken hebben.
@Thijs: Bedankt !
Amateur opinie is dit.
Je gaat niet mee in blackmail.
Apple kan ook een email met uitleg sturen. Aangeven dat er geen serieuze breach lijkt te zijn maar van de moeite gebruik maakt om gebruikers het wachtwoord te laten wijzigen en 2fa aan te zetten.
Enne, je weet dat “En die ook: wachtwoorden hergebruiken voor meerdere ddiensten”. beetje lastig voor Apple om te controleren hé?!
Ik denk optie 4, waar zodra accounts verwijderd gaan worden (na die deadline) de “verwijdering” omkeerbaar is. Of is dit alsnog stiekem optie 2?
Gelukkig adviseer ik dat ook niet.
Wel leuk dat je meedenkt over oplossingen.
Dat kan, maar meer dan de helft leest dat niet of doet er niets mee. Als ik een mailtje krijg dat ik eens over mijn verzekeringen moet nadenken, knik ik ook instemmend en vergeet het daarna weer. Afdwingen is effectiever.
Overigens verplicht Apple je niet om elk halfjaar het wachtwoord te wijzigen, zoals iemand hierboven onterecht beweerde.
Ik heb meerdere accounts, waaronder eentje met een zwak wachtwoord. Als ik daarmee inlog op icloud moet ik opnieuw twee veiligheidsvragen beantwoorden (naam van je moeder, en zo). Vervolgens moet ik een nieuw en sterk(er) wachtwoord aanmaken.
En zoals ik al eerder zei, heb ik ooit eerder onbewust 2fa aangezet voor andere accounts.
Dus eigenlijk ben ik best goed beschermd.
Ik kan me heel goed voorstellen dat Apple een afwachtende houding aanneemt…
Je doet toch ook de deur op slot thuis? Als een vervelend vriendje een sleutel heeft, verander je wellicht zelfs het slot?
Waarom zijn mensen dan zo laks met hun virtuele “deuren”? En nog erger, leggen ze de verantwoordelijkheid daarvoor bij iemand anders.
Het lijkt me je eigen verantwoordelijkheid.
Voor een ‘onzin’ verhaal krijgt deze groep behoorlijk wat aandacht.
Afwachten lijkt me toch wel een optie. Als maar 10 wachtwoorden van de beschikbaar gestelde set werken, krijg je toch wel een beetje de indruk dat ze vooral zitten te bluffen.
Ze moeten het lekker noet doen. Zo laten zo als het is.
Bij mijn weten is dat niet zo. Ik vraag het even aan een Genius in Haarlem, daar zit ik nu.
Genius zegt nee, Apple verplicht je niet om om de zoveel tijd je wachtwoord te veranderen.
Als je miljoenen accounts reset, voornamelijk mensen die het al niet goed voor elkaar hadden, kun je ervan uitgaan dat er een enorme hoeveelheid support verzoeken binnen gaan komen. Dat is dan werk en kosten voor Apple. Zullen ze ook niet op zitten te wachten. Uiteindelijk is de gebruiker zelf verantwoordelijk.
Ach joh, dat is grote onzin. Die Alibaba en zijn 40 rovers zijn de boel flink aan het flessen. Stelletje sukkels!
Wat ik bizar vind is dat ik op de telefoons van mijn minderjarige kinderen geen two-factor kan instellen. Navraag bij apple support leverde dit antwoord op
Two-factor authentication is only available for accounts with an age over 13. If the accounts are set up for children under 13 two-factor authentication is not available and this may be where you’re not seeing the option to enable it.
Snap ik echt geen reet van.
“54 Britse Accounts waarvan er 10 klopte”
Dan zou ik dat groepje van 10 maar ns goed onder de loep nemen
Kan maar zo een ‘clubje’ zijn die uit is op geld….
Speel het (potentiële) slachtoffer terwijl je feitelijk de boef zelf bent.
Niemand neemt zo’n hackersgroep serieus. Zitten vast een paar scholieren achter. Zelfs een kleine crimineel zou een beter verhaal verzinnen. Niet in strappen.
Wél af en toe je wachtwoord vernieuwen!
Waarom denk je dan dat momenteel die super-irritante reclamecampagne (“Hallo … ik blijf ’t toch zeggen hoor”) wordt gevoerd? Verbazingwekkend veel mensen doen dat dus óók niet, de deur op slot draaien 🤔
En risico’s en gevolgen in de digitale wereld zijn, zo lang het goed gaat, nog veel onzichtbaarder en ongrijpbaarder. Dus hanteren nog meer mensen daarin de logica achter dat gezegde van het verdronken kalf…