Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Möglicherweise wieder iTunes-Konten gehackt, Beschwerden häufen sich
#1

[Bild: xjj5jrz5fr1jmtfphud8.png]
Die App „The Pokerist“ (App Store-Link) ist schon länger im App Store verfügbar und liegt derzeit auf Platz 1 der umsatzstärksten Apps, obwohl sie eigentlich kostenlos ist. Dabei handelt es sich um eine sog. Freemium-App, die sich dadurch auszeichnet, dass man teure Zusatzinhalte über In-App-Käufe erwerben kann.

Im iTunes-Store häufen sich derzeit die Rezensionen geprellter Käufer, deren Konten mit Summen bis zu 100 Euro belastet wurden. Einige scheinen die App nicht einmal gekauft zu haben.

Bereits vor einigen Monaten machte die Meldung die Runde, dass chinesischen Entwickler im großen Stil iTunes-Konten hacken ließen und ihre eigenen Apps kauften, um diese in die Top 25 Listen zu pushen. Der Aufwand lohnt sich, denn sobald eine App in den Listen erscheint, sind reißende Verkaufszahlen garantiert.

Im Fall von „The Pokerist“ stellt sich die Lage ähnlich dar: da einige Käufer die App scheinbar nicht einmal geladen haben, liegt der Verdacht nahe, dass die dazugehörigen iTunes Konten gehackt wurden. Über die Drahtzieher kann indes man spekulieren - obwohl der Verdacht natürlich nahe liegt ist nicht bewiesen, ob der Entwickler etwas mit den Vorfällen zu tun haben könnte. Es gilt selbstverständlich die Unschuldsvermutung.

Ein offizielles Statement seitens Apple steht noch aus, die Vorfälle werden allerdings geprüft. Wir werden euch auf dem Laufenden halten und ein offizielles Statement ggf. nachreichen.

In diesem Zusammenhang möchten wir euch noch einmal darauf hinweisen, wie wichtig es ist, seine eigene AppleID mit einem sicheren Kennwort zu schützen. Zumal sie zunehmend als Generalschlüssel dient: unter OS X Lion kann man sie zum Zurücksetzen des Hauptkennworts benutzen, man erhält Zugriff auf iTunes, iCloud, den Mac App Store und natürlich auch die eigenen (Zahlungs-)Daten. Daher sollte es im Interesse jedes Nutzers liegen, seine AppleID bestmöglich zu schützen.
  • mindestens 12 Zeichen oder mehr
  • keine Wörter aus dem Wörterbuch (Bruteforce-Attacken)
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden
  • keine Passwörter verwenden, die sich lesen lassen oder im Wörterbuch stehen
  • Passwörter nicht weitergeben und nicht aufschreiben, schon garnicht direkt im Computer
  • keine mit anderen Diensten identischen Passwörter verwenden (z.B. das der Email)
  • AppleID nicht weitergeben
Eine 100%ige Sicherheit gibt es dennoch nicht. Aber man kann das Sicherheitsrisiko bestmöglich reduzieren, indem man die genannten Dinge beachtet. Auch die Auswahl der Zahlungsmethode spielt dabei eine Rolle. Kreditkartenkonten und ClickandBuy haben in Bezug auf iTunes kein Limit, daher können im Betrugsfall hohe Summen anfallen. Bei einer Guthabenkarte hingegen kann man nur den entsprechenden Wert verlieren. Allerdings kann man so z.B. an Sonn- und Feiertagen nicht sofort Einkäufe tätigen, wenn das Guthaben zu gering ist.
Zitieren
#2

China .. ohne Worte
Zitieren
#3

Bei mir war das so. Habe den Betrag heute zurückerstattet bekommen.
Frage: Bei den Sicherheitsmaßnahmen steht man solle die Passwörter nicht auf dem Rechner speichern. Wie siehts mit 1 Password aus? Das Programm ist ja extra dafür gedacht.
Zitieren
#4

Wäre ich Apple würde ich den Entwickler erst mal mit allen seinen Apps aus dem Appstore werfen. Ob er es war spielt dabei keine Rolle. Die User müssen geschützt werden.

Die beste Zahlungsmethode ist immer noch die iTunesprepaidkarte. Maximal 25€ aufladen. Es sei denn man will etwas teureres einkaufen. Dann aufladen und direkt kaufen.
Zitieren
#5

@wolle61: Damit ist nicht 1Password gemeint. Gegen solche Programme ist nichts einzuwenden. Es geht vielmehr darum, dass man nicht Passwörter in Klarsicht irgendwo speichern sollte, z.B. als Notiz, oder in einer "Passwort.doc". Klingt idiotisch, wird aber vielfach so gemacht.
Zitieren
#6

@Leopard: Oder Click&Buy und dort einen maximalen Ausgabebetrag / Monat angeben...
Zitieren
#7

einen kumpel von mir hats auch erwischt.
er hat daraufhin die 100 euro lastschrift von apple zurückgehen lassen.
daraufhin hat ihm apple seinen account gesperrt.

seit gestern haben sie ihn wieder entsperrt und sein geld hat er auch wieder.

aber das ist schon etwas beängstigend.

Zitieren
#8

Ist ja schon beängstigend, aber aus genau solchen Gründen verwende ich nur iTunes Pre-Paid Karten.
Wie es scheint ist Apple aber ja Kulant und erstattet die Beträge zurück.
Zitieren
#9

Mein Acc wurde auch diese Jahr gehackt. Hatte eine Riesen Rennerei. Apple hat den Betrag zwar erstattet aber Click&Buy hat ihn nur auf meinem C&B Konto gutgeschrieben und nicht auf mein normales Konto. Wie gesagt war ne Riesen Aktion mein Geld wieder auf mein richtiges Konto zu bekommen und danach hat mir C&B regelmäßig meine Apple ID sperren lassen. Mittlerweile mach ich auch alles nur noch über iTunes Prepaid Karten. Für mich ging es gut aus ich habe mein Geld wieder bekommen und das Thema ist abgeschlossen und mit Prepaid bin ich auf der relativ sicheren Seite.
Zitieren
#10

(15.08.2011, 12:55)*Leopard* schrieb:  Wäre ich Apple würde ich den Entwickler erst mal mit allen seinen Apps aus dem Appstore werfen. Ob er es war spielt dabei keine Rolle. Die User müssen geschützt werden.

würde ich auch so machen aber dann verdient Apple ja kein Geld mehr, deshalb machen die es nicht, es gibt genug reiche Menschen denen das gar nicht auffällt und somit sogar Apple einen gewinn davon hat.
Zitieren
#11

Was ich bei der ganzen Passwortnummer bis heute nicht verstehe ist warum die entsprechenden Mechanismen nicht auf simpelste Weise gegen Bruteforce-Angriffe geschützt werden.
Gegen das Auslesen durch Trojaner und Co. hilft auch kein 12-stelliges mit Sonderzeichen gespicktes.

1 x Passwort falsch eingeben --> OK
2 x Passwort falsch eingeben --> 5 min Account blockieren
3 x Passwort falsch eingeben --> 1 Stunde Account blockieren
4 x Passwort falsch eingeben --> 6 Stunden Account blockieren
usw. (kann man ja anpassen je nach Sicherheitsbedarf)

Und beim 4. Mal gibts ne email mit nem Entsperrlink, dann weiß man was los ist und könnte die temporäre Sperrung wieder aufheben. So könnte ein Hacker pro Tag "nur" 4-5 Passwörter probieren und da möchte ich mal die Rechnung sehen bis per Bruteforce irgendwas geknackt ist.

Oder gibt's da etwas, was dagegen spricht?
Zitieren
#12

Die Idee hat ein Haken. Der richtige User wird für Stunden ausgesperrt! Wenn ich also jemanden nerven will, gebe ich das Passwort immer wieder falsch ein. Mit einem Skript wird sich der User nie mehr im Leben in seinen Account einloggen.
Zitieren
#13

Naja, die email könnte ja auch schon beim zweiten gescheiterten Versuch nen Entsperrlink beinhalten. Dann wäre ein User nur sehr kurz (bis zum Klicken des Links) ausgesperrt.

Könnte schon sein, dass das nervig wird. Bei manchen Diensten (z.B. web.de) wird man auch jetzt schon informiert, wenn das Passwort falsch eingegeben wurde. Mir wurde noch nie ein fehlgeschlagener Login-Versuch angezeigt, den ich nicht selber zu verantworten hatte. Zwinkern

Ich würde jetzt mal sagen, dass kommt nicht so häufig vor. Und falls doch kann man ja wieder auf ein 12-stelliges Kennwort gehen. Für alle anderen wäre dieser Mechanismus doch ein willkommener Schutz!
Zitieren
#14

Was hat der Link damit zu tun? Dann drückst du auf dem Link und in der Zeit, habe ich schon längt das nächste Passwort getestet und der Account ist wieder gesperrt.
Zitieren
#15

Der Link ermöglicht Dir den sofortigen Zugriff auf Deinen Account.

Und ganz ehrlich, wenn mein Account derart unter Attacke ist, dann würde ich das auch gerne wissen. Evtl. ist es dann ja auch nicht verkehrt ihn für eine Weile gesperrt zu haben. Zudem: wenn Du magst könntest Du diese Sperre ja jederzeit abstellen.

Weiterhin würde ich annehmen, dass es
1. möglich ist die IP dieser Vorgänge zu speichern. Das treibt das Risiko des Angreifers hoch.
2. der Angreifer jede Menge Zeit verliert und sich deshalb nach einfacheren Accounts umsieht. Davon wird es vermutlich jede Menge geben.
Zitieren
#16

Zitat:Der Link ermöglicht Dir den sofortigen Zugriff auf Deinen Account.
Und dann? Wenn ich z.B mit meinem iPhone eine App laden will, ist der Account ja trotzdem gesperrt.

Zitat:Evtl. ist es dann ja auch nicht verkehrt ihn für eine Weile gesperrt zu haben.
Da wäre es sinnvoller, einfach die IP für eine gewisse Zeit zu blocken, da ist aber dann wieder das Problem, dass alle Leute, die über z.B o2 reingehen alle die gleiche IP haben.

Zitat:Zudem: wenn Du magst könntest Du diese Sperre ja jederzeit abstellen.
Dann sind wir wieder am Anfang. Eine Sperre die man abschaltet, weil sie sonst nur nervt, wenn sie eigentlich was bringen soll, ist überflüssig.

Zitat:1. möglich ist die IP dieser Vorgänge zu speichern. Das treibt das Risiko des Angreifers hoch.
Soll was bringen? Anzeige gegen jemanden aus China oder sonst wo?

Ganz einfach 1Password nutzen. Das ist der beste Schutz. Für iTunes habe ich dann ein spezielles Passwort, was ich mir so merken kann. Lade aber auch nur noch mit Guthaben Karten.
Zitieren
#17

Yawn Rofl

Was soll ich sagen? Du kannst morgen vom Auto überfahren werden, trotzdem zahlst Du heute abend (hoffentlich) Deine Rechnung beim Italiener.

Soll heißen: es gibt keine absolute Sicherheit.
Daher sind Totschlagargumente nicht hilfreich: Irgendwie gibt es immer einen Weg. Es kommt darauf an die Wahrscheinlichkeiten so niedrig zu halten wie möglich. Aufwand und Nutzen sind die nächsten Stichwörter.

Und nochmal: wenn Du kein Bock auf Sicherheit hast, nimmst Du halt 12345 als Passwort und schnallst Dich im Auto nicht an. Da ist nichts gegen zu machen. Wer nicht will, der hat wohl offensichtlich schon. Und erfüllt damit ja auch seinen Dienst. Zwinkern

Siehe auch:
(15.08.2011, 19:04)2holdon schrieb:  2. der Angreifer jede Menge Zeit verliert und sich deshalb nach einfacheren Accounts umsieht. Davon wird es vermutlich jede Menge geben.

Ich würde mich freuen so ein System zu sehen. Wenn es wider Erwarten nicht funktioniert, kann man es immernoch wieder abstellen. No harm done.
Zitieren
#18

Zitat:Soll heißen: es gibt keine absolute Sicherheit.
Das erkläre ich dir oben schon die ganze Zeit. Deine Idee macht es aber kein Stück sicherer, da es ehe jeder abschaltet, wenn man Opfer so einer Attacke wird.

Zitat:der Angreifer jede Menge Zeit verliert und sich deshalb nach einfacheren Accounts umsieht
Der tippt das ja nicht manuell ein. Der hat einfach ein Skript laufen, was das alles automatisch macht. Warum sollte er jetzt deinen Account überspringen? Nur weil du diesen pseudo Schutz drin hast? Gerade wenn man so ein Schutz selbst aktiviert, geht jeder von einem einfachen Passwort aus. Würde es also in der Warteschlange lassen. Kostet mich nichts. Wenn es standardmäßig aktiviert werden würde, ist dein Hoffen, dass er ein anderen Account nimmt wieder hinfällig. Und Apple bekommt eine Menge Mails, dass ständig der Account gesperrt ist. Eben weil sich viele ein Scherz erlauben. Biggrin

Zitat:Aufwand und Nutzen sind die nächsten Stichwörter.
Bei deinem Vorschlag ist der Aufwand hoch (da immer wieder gesperrt) und der Nutzen gering, wenn man Opfer wird. Nimmt man einfach ein sicheres Passwort, ist der Aufwand gering und der Nutzen hoch.

Kennst du denn ein Dienst, wo das so angewendet wird, wie du es vorgeschlagen hast? Ich kenne nur ein vServer Hoster der das so macht und da sind auch alle ständig genervt. Zwinkern
Zitieren
#19

Was ich auch noch wichtig finde, das nicht die gleiche E-Mail Adresse und Passwort genutzt wird. Für alle Apps nutze ich eine andere E-Mail-Adresse und Passwort.

Sollte doch mal mit einem Entwickler einer App nicht was stimmen. Kann er mit diesen Informationen kein Zugriff bekommen auf meine AppleID.

Auch nutze ich keine Kreditkarte oder Click and Buy.
Zitieren


Möglicherweise verwandte Themen…
Thema / Verfasser Antworten Ansichten Letzter Beitrag



Benutzer, die gerade dieses Thema anschauen: 9 Gast/Gäste