AppleCare laat hackers eenvoudig iCloud binnen

Apple geeft iedereen toegang tot een iCloud-account na verificatie van e-mail, factuuradres en de laatste 4 cijfers van een creditcard. Deze informatie is simpel te achterhalen via Amazon.

Het protocol dat Apple-medewerkers hanteren zodat gebruikers hun vergeten wachtwoord van iCloud kunnen resetten, deugt niet. De gegevens die AppleCare eist voor verificatie - e-mail, factuuradres en de laatste 4 cijfers van de creditcard -- zijn namelijk redelijk eenvoudig door derden te achterhalen.

Dat blijkt uit het incident waar hackers toegang kregen tot de iCloud-account van techjournalist Mat Honan en vervolgens alle data van zijn Mac, iPad en iPhone wisten. Ook kaapten ze zijn Gmail- en Twitter-account.

Authenticatie met semi-publieke info
Via een trucje op de site van Amazon kunnen kwaadwillenden eenvoudig achter het factuuradres en de laatste vier cijfers van de creditcard van een slachtoffer komen. De laatste vier cijfers van een creditcardnummer zijn semi-publiek, maar desondanks voor AppleCare voldoende als authenticatie, constateert Honan.

Apple zelf stelt dat de helpdeskmedewerker in dit geval "ons interne beleid niet volledig heeft gevolgd". Onduidelijk is echter welke protocollen niet zijn nageleefd, want uit navraag blijkt dat ook andere supportmedewerkers bevestigen dat niet meer dan dan e-mail, adres en de laatste vier cijfers van de creditcard nodig zijn om iemand toegang te geven tot een iCloud-account.

Ook lokale backups
Via de iCloud kunnen vervolgens alle aangesloten devices worden gewist, bijvoorbeeld na verlies of diefstal van een iPhone of iPad. Apple laat weten de procedures voor het resetten van wachtwoorden tegen het licht te houden. Honan steekt ook de hand in eigen boezem: hij had lokale backups van zijn data moeten maken en bijvoorbeeld tweefactor authenticatie van Gmail aan moeten zetten.