:strip_exif()/u/333341/crop637e87a83a6e9_cropped.gif?f=community)
Er zit een lek in Apple's iCloud-authenticatiesysteem waardoor (in mijn geval Chinese) hackers toegang konden krijgen tot een oud iCloud-account zonder tweefactorauthenticatie (2FA) en zonder beveiligingsvragen. Ik zie online op verschillende plaatsen, waaronder hier op GoT, vergelijkbare verhalen dat de gehackte iCloud-accounts oud zijn, van lang voordat 2FA werd geïntroduceerd. Het zijn vaak iCloud-accounts die niet actief worden gebruikt, slapend, zoals die van mij.
In mijn geval hebben ze eerst een dag of drie lang brute force pogingen gedaan om m'n (extreem lange en random) wachtwoord te wijzigen (ik ontving een heleboel echte (!) Apple-e-mails dat het wachtwoord van het account acht uur lang niet kon worden gewijzigd), waarna het systeem hen op de een of andere manier toch toegang gaf. Ik vermoed via beveiligingsvragen (die volgens mij niet eens op dit (zeer oude) account stonden), of door een geboortedatum te vinden die gekoppeld was aan het e-mailadres (wat het Apple ID is, in dit geval een niet-iCloud-e-mailadres). Misschien schakelt het account na zoveel pogingen over naar een modus waarin om een geboortedatum wordt gevraagd. Er was vlak voor dit geval een groot beveiligingslek (Odido, bedankt!) en mijn gegevens zaten daarin (en nee, was al lang geen Odido-klant meer, en heb ze gelukkig nooit veel PII hoeven geven). Het zou me niet verbazen als dit de boel op gang heeft gebracht. Ter info: de geboortedatum die ik ergens invul, is nooit mijn eigen geboortedatum. Maar ik heb nu geleerd om voor verschillende accounts telkens een andere geboortedatum te gebruiken.
Ik kreeg vervolgens weer toegang tot het account via een iOS-apparaat waarop ik niet was ingelogd met een iCloud-account. Hierdoor moet je direct tweefactorauthenticatie (2FA) inschakelen, en ben je safe. Zou je denken. Maar nee, het gevaar blijft bestaan. Ik heb gisteren met een (tweedelijns) medewerker van Apple Support gebeld (goeie gast) en geprobeerd de stappen te reconstrueren die de Chinese hackers waarschijnlijk hebben gebruikt om vandaag opnieuw toegang te krijgen. Ik kreeg gisteren namelijk een authentieke e-mail van Apple waarin stond dat 2FA van mijn account was verwijderd. Ongelooflijk.
Dus, how did they do it?
Vereisten:
- Oud iCloud-account, geen 2FA, mogelijk ook geen beveiligingsvragen
- Waarschijnlijk een geboortedatum gekoppeld aan je iCloud-e-mailadres
Toen de hackers dit account in eerste instantie overnamen, stelden ze de beveiligingsvragen in, in het Chinees. Ik weet vrij zeker dat er nooit beveiligingsvragen aan dit account zijn gekoppeld, omdat ik altijd onzin antwoorden gebruik en die al meer dan 15 jaar in mijn passwordmanager bewaar. Ze hebben ook mijn (fake) geboortedatum veranderd. Nu weet ik waarom: het stelde ze in staat om de tweefactorauthenticatie (2FA) die ik had ingeschakeld gemakkelijk weer uit te schakelen. Hoe? Volg gewoon de stappen op iforgot.apple.com en zeg dat het telefoonnummer dat je daar ziet niet van jou is. De volgende vraag is dan: je geboortedatum. Ouch! Compleet gestoord dit
Ik had mijn geboortedatum teruggezet naar mijn fake geboortedatum, zonder te weten dat dit waarschijnlijk de truc is die ze gebruiken om 2FA weer uit te schakelen, en ze hadden deze datum in hun systeem staan.
Dus nu heb ik het veranderd naar een willekeurige geboortedatum, maar de tijd zal leren of ze die niet alsnog kunnen kraken via brute-forcing. Er is immers een vast aantal datums over de afgelopen 80 jaar. Als Apple's systemen niet te veel pogingen blokkeren zoals "oeps, nee sorry, dit is mijn geboortedatum", dan is het wijzigen van je geboortedatum gewoon 'security through obscurity'. En misschien, als ze het lang genoeg proberen, kan 2FA worden verwijderd door simpelweg die ene juiste (nu Chinese) beveiligingsvraag te beantwoorden, wie weet?
De Apple support medewerker zei dat nieuwere iCloud-accounts geen beveiligingsvragen meer hebben, 2FA is nu verplicht. Dat klopt. Maar je kunt de beveiligingsvragen van oudere accounts niet resetten als iemand anders ze heeft gewijzigd, en Apple staat dat zelf ook niet toe, volgens hun eigen privacybeleid. Begrijpelijk, maar het laat wel de deur open voor misbruik van oude iCloud-accounts. Ik weet niet wat erger is.
Aan de positieve kant: er is geen echte schade aangericht. Ik had geen betaalmethode gekoppeld aan dit account, maar ze hebben er zelf een toegevoegd (ik kreeg hier een echte Apple-bevestigingsmail van), waarna ze een hoop dingen hebben gekocht in de US App Store en een heleboel gratis iOS- en macOS-apps hebben gedownload. Met een nep-Amerikaans postadres dat gewoon ergens een winkel in Ohio is. Maar ze hebben er "zelf" voor betaald, en om de een of andere reden hebben ze er ongeveer $20 aan winkeltegoed op laten staan. Ik kan dit alleen in de US App Store besteden, maar dat ga ik zeker doen!
Maar eerlijk gezegd ben ik diep teleurgesteld in Apple. Je leest vaak: "als je 2FA uitschakelt, heb je geen beveiligingsvragen meer". Dat is gewoon onzin, want voor oudere iCloud accounts gaat dat niet op. Zodra je 2FA uitschakelt, krijg je weer je oude beveiligingsvragen. En deze vragen kunnen nooit worden gereset of verwijderd.
Ter info: de hackers hebben nooit toegang gehad tot mijn e-mailaccount, ik heb dit dubbel gecontroleerd in de logs van mijn mailserver en zelfs mijn IMAP-server. Het is ook niet nodig, er worden geen interessante gegevens via e-mail verzonden tijdens dit proces, alleen notificaties. Mijn e-mailaccount heeft ook een hele andere gebruikersnaam dan het e-mailadres zelf. Over het initiële wachtwoord dat ze hebben mogen overschrijven zegt Bitwarden: "Estimated time to crack: Centuries". Dus niks geen brute-forcing of social engineering, gewoon een gat in Apple's systeem
Update: zie mijn bericht. Het blijkt makkelijk te zijn om op een iOS device het wachtwoord te resetten via de beveiligingsvragen.
In mijn geval hebben ze eerst een dag of drie lang brute force pogingen gedaan om m'n (extreem lange en random) wachtwoord te wijzigen (ik ontving een heleboel echte (!) Apple-e-mails dat het wachtwoord van het account acht uur lang niet kon worden gewijzigd), waarna het systeem hen op de een of andere manier toch toegang gaf. Ik vermoed via beveiligingsvragen (die volgens mij niet eens op dit (zeer oude) account stonden), of door een geboortedatum te vinden die gekoppeld was aan het e-mailadres (wat het Apple ID is, in dit geval een niet-iCloud-e-mailadres). Misschien schakelt het account na zoveel pogingen over naar een modus waarin om een geboortedatum wordt gevraagd. Er was vlak voor dit geval een groot beveiligingslek (Odido, bedankt!) en mijn gegevens zaten daarin (en nee, was al lang geen Odido-klant meer, en heb ze gelukkig nooit veel PII hoeven geven). Het zou me niet verbazen als dit de boel op gang heeft gebracht. Ter info: de geboortedatum die ik ergens invul, is nooit mijn eigen geboortedatum. Maar ik heb nu geleerd om voor verschillende accounts telkens een andere geboortedatum te gebruiken.
Ik kreeg vervolgens weer toegang tot het account via een iOS-apparaat waarop ik niet was ingelogd met een iCloud-account. Hierdoor moet je direct tweefactorauthenticatie (2FA) inschakelen, en ben je safe. Zou je denken. Maar nee, het gevaar blijft bestaan. Ik heb gisteren met een (tweedelijns) medewerker van Apple Support gebeld (goeie gast) en geprobeerd de stappen te reconstrueren die de Chinese hackers waarschijnlijk hebben gebruikt om vandaag opnieuw toegang te krijgen. Ik kreeg gisteren namelijk een authentieke e-mail van Apple waarin stond dat 2FA van mijn account was verwijderd. Ongelooflijk.
Dus, how did they do it?
Vereisten:
- Oud iCloud-account, geen 2FA, mogelijk ook geen beveiligingsvragen
- Waarschijnlijk een geboortedatum gekoppeld aan je iCloud-e-mailadres
Toen de hackers dit account in eerste instantie overnamen, stelden ze de beveiligingsvragen in, in het Chinees. Ik weet vrij zeker dat er nooit beveiligingsvragen aan dit account zijn gekoppeld, omdat ik altijd onzin antwoorden gebruik en die al meer dan 15 jaar in mijn passwordmanager bewaar. Ze hebben ook mijn (fake) geboortedatum veranderd. Nu weet ik waarom: het stelde ze in staat om de tweefactorauthenticatie (2FA) die ik had ingeschakeld gemakkelijk weer uit te schakelen. Hoe? Volg gewoon de stappen op iforgot.apple.com en zeg dat het telefoonnummer dat je daar ziet niet van jou is. De volgende vraag is dan: je geboortedatum. Ouch! Compleet gestoord dit
Ik had mijn geboortedatum teruggezet naar mijn fake geboortedatum, zonder te weten dat dit waarschijnlijk de truc is die ze gebruiken om 2FA weer uit te schakelen, en ze hadden deze datum in hun systeem staan.Dus nu heb ik het veranderd naar een willekeurige geboortedatum, maar de tijd zal leren of ze die niet alsnog kunnen kraken via brute-forcing. Er is immers een vast aantal datums over de afgelopen 80 jaar. Als Apple's systemen niet te veel pogingen blokkeren zoals "oeps, nee sorry, dit is mijn geboortedatum", dan is het wijzigen van je geboortedatum gewoon 'security through obscurity'. En misschien, als ze het lang genoeg proberen, kan 2FA worden verwijderd door simpelweg die ene juiste (nu Chinese) beveiligingsvraag te beantwoorden, wie weet?
De Apple support medewerker zei dat nieuwere iCloud-accounts geen beveiligingsvragen meer hebben, 2FA is nu verplicht. Dat klopt. Maar je kunt de beveiligingsvragen van oudere accounts niet resetten als iemand anders ze heeft gewijzigd, en Apple staat dat zelf ook niet toe, volgens hun eigen privacybeleid. Begrijpelijk, maar het laat wel de deur open voor misbruik van oude iCloud-accounts. Ik weet niet wat erger is.
Aan de positieve kant: er is geen echte schade aangericht. Ik had geen betaalmethode gekoppeld aan dit account, maar ze hebben er zelf een toegevoegd (ik kreeg hier een echte Apple-bevestigingsmail van), waarna ze een hoop dingen hebben gekocht in de US App Store en een heleboel gratis iOS- en macOS-apps hebben gedownload. Met een nep-Amerikaans postadres dat gewoon ergens een winkel in Ohio is. Maar ze hebben er "zelf" voor betaald, en om de een of andere reden hebben ze er ongeveer $20 aan winkeltegoed op laten staan. Ik kan dit alleen in de US App Store besteden, maar dat ga ik zeker doen!
Maar eerlijk gezegd ben ik diep teleurgesteld in Apple. Je leest vaak: "als je 2FA uitschakelt, heb je geen beveiligingsvragen meer". Dat is gewoon onzin, want voor oudere iCloud accounts gaat dat niet op. Zodra je 2FA uitschakelt, krijg je weer je oude beveiligingsvragen. En deze vragen kunnen nooit worden gereset of verwijderd.
Ter info: de hackers hebben nooit toegang gehad tot mijn e-mailaccount, ik heb dit dubbel gecontroleerd in de logs van mijn mailserver en zelfs mijn IMAP-server. Het is ook niet nodig, er worden geen interessante gegevens via e-mail verzonden tijdens dit proces, alleen notificaties. Mijn e-mailaccount heeft ook een hele andere gebruikersnaam dan het e-mailadres zelf. Over het initiële wachtwoord dat ze hebben mogen overschrijven zegt Bitwarden: "Estimated time to crack: Centuries". Dus niks geen brute-forcing of social engineering, gewoon een gat in Apple's systeem
Update: zie mijn bericht. Het blijkt makkelijk te zijn om op een iOS device het wachtwoord te resetten via de beveiligingsvragen.
/u/228058/crop55f2918eef184_cropped.png?f=community)
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
/u/28468/librarian2.png?f=community)
:no_upscale():strip_icc():strip_exif()/f/image/AHToYGG8NGJMRMcDNPPS3mi9.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/hJNWGXGV0XtvK6XS7iifm5sr.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/UTPvF1U2JnDOIKR8mp7w0zV6.jpg?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/ta0PNwFkTIWBxWN59DrAGSFq.jpg?f=user_large)
:strip_icc():strip_exif()/u/2370468/crop6901c511c81b0_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/16567/my_avatar2.jpg?f=community){kind=avatar}
/u/433/crop6746d51e1326a_cropped.png?f=community)
:strip_exif()/f/image/LEHDpF37nS7eFZBo9Vz388GF.png?f=user_large)
:no_upscale():strip_icc():strip_exif()/f/image/VGnDR1CKdIciRlqjQsQfGDul.jpg?f=user_large)
Althans als niet is nagedacht over beveilingsmaatregelen zoals bv. een week lang ingelogde users of de ontvangers van de mail een veto geven.