Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties, 42.610 views •

Wie het e-mailadres en de geboortedatum van iemand met een Apple ID weet, kan het wachtwoord van die persoon aanpassen. Dat kan door een beveiligingsprobleem in de 'wachtwoord vergeten'-functionaliteit te misbruiken.

Technologiesite The Verge kwam het beveiligingsprobleem op het spoor: ergens op internet staat uitgelegd hoe het wachtwoord van iemands Apple ID eenvoudig kan worden gewijzigd. Normaliter is voor het wijzigen van een wachtwoord, naast het kennen van het mailadres en de geboordedatum, ook het antwoord op een geheime vraag nodig, maar het blijkt mogelijk die vraag te omzeilen.

Hoe dit precies in zijn werk gaat, is onduidelijk; The Verge doet dat uit veiligheidsoverwegingen niet uit de doeken en linkt niet naar de website waar het beveiligingsprobleem uit de doeken wordt gedaan. Inmiddels is de 'wachtwoord vergeten'-functionaliteit onbereikbaar; de kans is groot dat Apple dat uit voorzorg heeft gedaan, om misbruik van het beveiligingsprobleem te voorkomen.

Gebruikers die two-factor authentication hebben ingeschakeld, zijn niet kwetsbaar voor het probleem. Die functionaliteit, waarbij gebruikers naast een wachtwoord ook een andere code moeten invoeren die naar iemands mobiele apparaat wordt verzonden, is echter nog niet beschikbaar in Nederland en België. Two-factor authentication werd deze week geïntroduceerd door Apple; onder meer Google, Dropbox en Facebook bieden de veiligere loginmethode al langer aan.

Apple ID password reset

Reacties (69)

Toch slordig dat dit kan, maar goed dat ze de service meteen offline halen als het lek blijkt te zijn. Hopelijk wordt de 2-factor authenticatie in Nederland en BelgiŽ ook snel ingevoerd. Ik gebruik het al een hele tijd met GMail en het geeft toch net wat meer veiligheid :)
Ik gebruik ook 2-factor met GMail maar nog vertrouw ik het niet. Wie mijn GMail account hackt heeft zo'n beetje mijn hele leven en dat vertrouw ik Google niet toe, dus ik zit er al lange tijd aan te denken om het bij Google weg te halen en zelf iets te gaan draaien.
En jij denkt dat je jouw informatie beter kan beveiligen dan google? Die kans lijkt mij zeer klein ;)
Natuurlijk kun je dat zelf beter.
a) als je je informative aan Google geeft heb je het eigenlijk al weggegeven.
b) Google moet het volgens de Patriot Act gewoon aan de autoriteiten in de VS geven wanneer die er om vragen.
c) de software van Google is ook gewoon door mensen geschreven en ... mensen maken fouten
d) je kunt je gegevens op een externe opslag medium plaatsen, veel sterkte met het hacken daarvan (als ik slaapkamer filmpjes/foto's zou hebben dan zou ik die toch liever niet via het web beschikbaar hebben)
goh, wat een beveiliging, jij met je harde schijf. het enige wat iemand hoeft te doen is een raampje in te tikken en jouw schijfje pakken. droom maar lekker verder.
Afgezien van een brand of blikseminslag dan is als je data naar de bliksem ;-)
Dat zou alleen helpen als niet elke mail die in jouw 'veilige' inbox staat niet ook al bij iemand anders in de mailbox staat.
Apple gebruikers nemen naar mijn idee niet vaak Apple spullen omdat ze het idee hebben dat ze dan beslist veilig zijn. De grootste aankoopreden zal zijn dat het er mooi uit ziet en dat het werkt zoals het moet werken.

Onder OSX is de veiligheid wťl beter geregeld, althans als je tenminste een EFI-wachtwoord hebt ingesteld.
(zelf Apple gebruiker)
a) Nee, die informatie is van jou. Google gebruikt die wel om jou van advertenties te voorzien. Die voorwaarden zijn strikt, in tegenstelling tot wat veel geFUD wordt.

b) Juist. Serieus, die kans is kleiner dan dat iemand jou harddisk thuis jat. Vele malen kleiner. Sterker, voor individueen die niet bekend staan als terroristische dreiging voor de VS, is die kans nihil, nagenoeg uitgesloten. Hij wordt er altijd bijgesleept maar speelt nauwelijks een significante rol.

c) Alleen minder fouten dan jij. De beveiligingscertificering van GOogle's system is iets waar grote bedrijven niet aan tippen, laat staan jij thuis. Niet voor niks dat KLM, Randstad, BVBA, Ahold en dat soort jongens het liever aan Google overlaten.

d) Precies, maar voor die gegevens gebruik je Google neem ik aan niet.

[Reactie gewijzigd door RielN op 23 maart 2013 09:44]

Mogelijk is het waar dat de kans dat je harde schijf thuis gejat wordt groter is. Er zit dan echter een flinke discrepantie tussen vraag en aanbod.

Degene die daadwerkelijk de stap neemt om je raampje in te tikken en de harde schijf mee te nemen doet dat uit financieel oogpunt en interesseert het geen reet wat erop staat. Vrijwel altijd zal de schijf leeggegooid worden en doorverkocht.

Een hackpoging is in die zin veel laagdrempeliger, gevoelsmatig is het, omdat het digitaal is, minder ernstig dan fysiek bij iemand inbreken. Bovendien zijn het over het algemeen wel hoger opgeleiden die daaraan gaan beginnen en dus ook heel andere doelen hebben met hun hack.

Los daarvan blijft het nog steeds veel lucratiever om Google te hacken dan iemands server die hij thuis draait, los van of die laatste beter of slechter beveiligd is. Kun je Google hacken, dan heb je toegang tot een enorme hoeveelheid gegevens van een enorme hoeveelheid mensen. Hack je het servertje wat Henk thuis heeft draaien, dan heb je de gegevens van Henk, en misschien, als je mazzel hebt, van enkele mensen in zijn omgeving.

Daardoor zal het toch wel degelijk veel veiliger zijn om zelf je gegevens te hosten / op te slaan. Het enige wat je moet doen is de basis beveiliging op peil houden: security updates installeren, geen brakke software gebruiken, dat soort dingen.
het probleem is je kan wel je account verwijderen maar de informatie blijft gewoon achter op de server. En wellicht zullen er nog een hoop servers zijn met een enorme collectie data van persoonsgegevens.

Daarbij denk ik het niet alleen een menselijk probleem is maar ook een technisch probleem.
Teveel script talen met waarvan elke wel vele gebreken heeft en omslachtige constructies.
Ging hem om dat zijn account gehackt kon worden en zo zijn mails en documenten, agenda, en alle andere diensten in een klap open liggen voor die gene die het hackt.

Als je acoount verwijderd is het probleem weg, dat data er nog opstaat betekend niet dat al zijn data nog te hacken valt via dat enen hoofd account, die bestaat niet meer, geen koppeling meer naar buiten toe voor de data.

En moesten website voortaan niet alle data echt verwijderen? En data achter een account kan nooit door andere server zijn opgeslagen, openbare data wel die word door cache servers overal opgeslagen.
Neen, Google spant zich ten zeerste in je account te verwijderen. UIteraard zijn er tapebackups waar je account uit zal moeten groeien.

Daarvoor is verwijderde mail ook zeer lastig terug te halen. Dit is een mooi artikel en absoluut de moeite van het lezen waard:

http://www.theatlantic.co...ve/2011/11/hacked/308673/

[Reactie gewijzigd door RielN op 23 maart 2013 09:46]

Same problem here. Zelfs mijn sms'jes/belhistorie worden middels een Android-app (SMS Backup+) naar Gmail overgeheveld.
tja en dat ga zeker veiliger zijn.?
Dit is volgens mij niet de eerste keer dat er een fout gevonden is in het 'forgotten password' gedeelte van je apple ID... erg slordig dit.
100% veilig bestaat nooit, en over enkele jaren klaagt iemand over het feit dat je nog steeds via een 2-factor authenticatie met een telefoon kan inloggen en dat het zo onveilig is. Slordig ja, zal zoiets binnenkort ergens weer opduiken ja.

O/T - misschien ben ik paranoide maar je telefoonnummer bij en apple en google, hoe zit het met privacy. Je bent nu wel helemaal makkelijk overal te volgen.
Voor two-factor authentication bij google hoeft je telefoonnummer helemaal niet bekend te zijn, je leest met een app op je telefoon een qr-code in (die de sleutel voor de generatie bevat), maar je kan ook een applicatie op je pc of een app op je tablet installeren om de two-factor authentication te gebruiken.

O/T - Ik snap niet wat de reden kan zijn dat two-factor authentication nog niet in Nederland en BelgiŽ beschikbaar is. Goede actie dat ze het nu meteen dichtgooien hoor, maar toch erg slordig dat het nodig is.

[Reactie gewijzigd door TheDevilOnLine op 22 maart 2013 22:15]

100% beveiligd bestaat niet. Als je een bunker van 10 meter dik beton maakt kan er nog steeds een meteoriet doorheen. Alles is relatief, ook digitaal gezien.
Je kunt van software alleen maar bewijzen dat het 100% correct is, dat er geen bugs in zitten. Maar daarmee kun je nog niet de claim doen dat een systeem 100% veilig is.

Gebruikers zijn namelijk zelf regelmatig de zwakste schakel in beveiliging, social engineering is aan de orde van de dag. Zelfs al zijn de systemen 100% waterdicht, dan nog zal het mogelijk zijn voor kwaadwillenden om er misbruik van te maken.

Maar laten we wel wezen, we hebben het hier over een microkernel van hooguit 8600 regels code. Van zo'n geringe hoeveelheid code is veel makkelijker de correctheid te bewijzen dan bijvoorbeeld de (monolitische) Linux kernel, die meer dan 15 miljoen regels code bevat.

En vergeet ook de quote niet die ze zelf ook doen:
A cynic might say: proofs like this only show that every fault in the specification has been precisely implemented in C.
Je programma kan dan 100% bewezen correct zijn, maar als er een fout zit in de specificaties, dan zal de resulterende code stomweg dezelfde fouten bevatten.
10 regels code of 10.000 regels code doen er niet toe.
Elke regel code kan je over nadenken uitwerken en testen.
Maar als men te snel wil dan is dat juist het struikel blok.

[Reactie gewijzigd door BoringDay op 23 maart 2013 14:33]

klopt, fouten worden gemaakt, daar ontkom je niet aan, en je moet bedrijf de kans geven om het op te lossen, doet apple dat ook netjes, niks op aan te merken.

Maar ik zou me wel schamen als ik zoiets zou maken, is belangrijk onderdeel. En niemand die even kon nadenken en bij zichzelf dacht mail adres en geboorte datum geregeld in de mail zelf staan bij elkaar en dat dat geen slim idee zou zijn om dat te gebruiken om je wachtwoord aan te passen.

Zou bijna denken dat het vroege 1 april grap is, kan het gewoon niet geloven dat men zo dom kan zijn. Zoiets kan je toch niet bedenken en ook nog uitvoeren en dan al die tijd gewoon denken dit is veilig systeem, kan er bij mij niet in. Ik zou mensen die dit gemaakt hebben voortaan een andere taak geven in het bedrijf, koffie halen of zo! :D
Het staat niet heel duidelijk in het tweakers artikel, maar het gaat om een (simpele) hack.
The exploit involves pasting in a modified URL while answering the DOB security question on Apple's iForgot page. It's a process just about anyone could manage, and The Verge has confirmed the glaring security hole firsthand.
Heel erg slecht, maar dat is niet hoe iemand het bedacht heeft.

Verder heeft Apple het al opgelost:
http://www.theverge.com/2...r-fixing-security-exploit
iMore first reported that the exploit, which involved manipulating a URL, was no longer active. We have been able to confirm this in our own testing.
Tja, die two factor authenticatie is niet voor niets bedacht!
Het is gewoon noodzakelijk om je ID te beschermen.
Zo gaat de naam van Apple nog sneller achteruit.
Als je zo makkelijk iemands vertrouwlijke gegevens kan inzien en veranderen vraag ik me echt af wat voor amateurs dat in elkaar hebben gezet bij Apple.
Nou in het vorige nieuwsbericht inzake Apple en die 2 factor-authentication (die hier nog niet ingevoerd zal worden) waren er toch weer genoeg mensen gebrainwashed genoeg om er een positieve draai aan te geven (voor Apple dan..).

Ik vermoed dat het het gros van de gebruikers niets zal boeien, sterker nog: die zullen elke extra actie tbv. beveiliging hoogstwaarschijnlijk maar vervelend vinden.
Het gaat hier om gemak en gebruiksvriendelijkheid, daar valt het extra invoeren van een wachtwoord oid. in de regel niet onder.

Maar hopen dat het snel weer (veilig) beschikbaar is, want lijkt me flink vervelend dat het nu helemaal afgesloten is.
Hoe krijg je het voor elkkaar om de introductie van 2 factor authentication een negatieve draai te geven.
Doordat het in NL slechts een aankondiging voor 2 factor is, en nog niet de daadwerkelijke invoering.
Microsoft komt niet eens voor in de top 10 van meest gehackte software programma's.
iTunes daarintegen..
Ik neem aan dat men alleen een wachtwoord kon resetten en mailen naar het account, niet dat je zonder mail toegang ook kunt inloggen.
Dus jij vindt het handig dat, als je je wachtwoord van je account kwijt bent, ze het wachtwoord naar dat account waar jij niet in kan sturen? :? Het idee van die wachtwoord vergeten opties is toch vaak dat je ter plekke een nieuw wachtwoord kunt bedenken zonder het oude te hoeven in te voeren (die ben je immers vergeten). Dat betekent tevens dat de eigenaar er zelf ook niet meer in kan.
Dit is dus de reden dat ik nooit, maar dan ook nooit, mijn echt persoonlijke gegevens invul op een site. Je bent teveel afhankelijk van de integriteit van de software om die gegevens niet te laten misbruiken. 'Geheime vragen' heb ik nooit een goed idee gevonden, een beetje social engineering via Hyves of Facebook doet wonderen.

En dan te bedenken dat er plannen waren (of nog steeds zijn?) waar je verplicht met je eigen naam op een forum moet gaan zitten en het gebruiken van een alias not done is.
Ik vul de geheime vragen altijd wel, maar dan sla ik in lastpass het antwoord op wat dan lijkt op : @^GDwedf&BDIDI@

Zal niemand goed kunnen beantwoorden.

Security vragen is gewoon een cheap-ass methodiek voor luie providers die geen contact willen met klanten, alles moet op basis van selfservice. Ofwel alles draait om goedkoop.
Ik zet ook altijd de meeste rare niet te raden lange teksten neer bij geheime vragen. Maar dat maakt in dit geval dus niks uit, die stap wordt gewoon overgeslagen.. :s Waardeloos in elkaar gezet ('beveilings')systeem dus.
Nee hij wordt omzeild. Dat is iets anders.
Idem, maar dat bijt je soms ook in je aars. Bijvoorbeeld voor Diablo III had ik op Battle.Net ook een dergelijke secret question beantwoord door wat in het wilde weg op mijn toetsenbord te rammen.

Op een gegeven moment wilde ik in de trein eens inloggen via het WiFi in de trein. Helaas, mijn account werd geblokkeerd omdat het afweek van mijn inlogpatroon (echt geweldige, dat soort 'beveiligingsmethodes' 8)7). Vervolgens moest ik hem deblokkeren door mijn 'secret question' beantwoorden... Ja, die wist ik dus niet.

Alternatief was de cd-key van Diablo III in te vullen. En tja, die weet ik natuurlijk ook niet uit mijn hoofd. Effectief buitengesloten uit mijn eigen account dus.

Dat men probeert dingen te doen om de beveiliging te verbeteren vind ik prima, maar het moet wel in perspectief gezien blijven. Het ging hier verdorie om een game-account wat ik gebruik om een spelletje te spelen. Niet om het bedieningspaneel van een kernbom-lanceer-platform. En persoonlijk zie ik dingen als Facebook, Gmail en dergelijke in hetzelfde rijtje als een game-account, belangrijke / waardevolle informatie zet ik er toch niet op.
Het scheelt dat je altijd de CC gegevens moet invullen als je op een onbekend apparaat inlogt...
Niet als je click and buy gebruikt. Dan is ww genoeg.
Het scheelt dat je altijd de CC gegevens moet invullen als je op een onbekend apparaat inlogt...
Nee hoor, gewoon antwoord op de 2 beveiligings vragen.
Dan is je iTunes account vrij, met het tegoed wat je nog hebt

En aangezien de meesten toch zo'n aversie hebben tegen een CC, gebruiken ze de ituneskaarten
( met korting, bij de bonus van appie, want we blijven hollanders :+ )
Geboortedatum? Hoe weet Apple die?
Van Google of als je t zelf invult
en anders kun je 1970-01-01 proberen :+
Een datumveld gaat in een RDBMS wel verder dan alleen 1970. Tenzij Apple ook opslaat op welk tijdstip je geboren bent en ze het in een DateTime veld stoppen..
Wel vreemd dat je de ingevoerde geboortedatum niet kan wijzigen bij Apple.
Ik heb mijn creditcard in ieder geval voorlopig losgekoppeld.
Tsja, mensen veranderen nu eenmaal niet zo vaak van geboortedatum. Kun je iets als geslacht wel aanpassen (wat in de medische wereld iig daadwerkelijk mogelijk is :+)?
Wel vreemd dat je de ingevoerde geboortedatum niet kan wijzigen bij Apple.
( en dan nog + waarderingen krijgen ..... )

Ik heb wel degelijk verschillende geboortedata ... iTunes, Facebook en google hebben niet mijn eigen "echte" jaar ...

Security avant la problem ...
Er is geen enkele onlinedienst waarbij er *geen* methode is voor een wachtwoordreset.

En dat is ook heel normaal.
Yeah want Google's security track record is smetteloos....

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True