Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple ontkent hack bij iCloud

Door , 105 reacties

Apple ontkent dat hackers zijn binnengedrongen in de systemen van iCloud of Apple ID. Een groep hackers claimt de controle te hebben over honderden miljoenen accounts, maar volgens Apple is dat het gevolg van eerdere hacks bij andere diensten zoals LinkedIn.

Apple werkt bovendien met autoriteiten mee voor de opsporing van de hackersgroep die de claims heeft gedaan en die dreigt om honderden miljoenen iPhones op afstand te wissen. Apple is volgens een statement aan Fortune 'actief aan het monitoren' of kwaadwillenden ongeoorloofd toegang hebben tot accounts.

Het Amerikaanse bedrijf suggereert dat de data wellicht afkomstig is uit andere databases. Door emailadressen die in databases stonden van eerdere hacks in te voeren in iCloud, is het mogelijk om te kijken welke mailadressen ook in gebruik zijn voor Apple ID's. Omdat veel mensen wachtwoorden hergebruiken, is het bovendien mogelijk om toegang te krijgen tot het account.

De iPhone-fabrikant raadt gebruikers aan om sterke wachtwoorden te verzinnen, dezelfde wachtwoorden niet te hergebruiken en waar mogelijk tweetrapsauthenticatie aan te zetten, iets dat Apple in het Nederlands aanduidt als 'twee-factor-authenticatie'. Door de toevoeging van tweetrapsauthenticatie kunnen hackers op afstand niet in het account, omdat ze fysiek toegang moeten hebben tot een telefoon om de code voor authenticatie te onderscheppen.

De hackersgroep 'Turkish Crime Family' claimde deze week toegang te hebben tot honderden miljoenen accounts en zei alle apparaten op afstand te gaan wissen tenzij Apple losgeld zou betalen.

Arnoud Wokke

Redacteur mobile

Reacties (105)

Wijzig sortering
Klinkt meer als een groep die een beetje ophef wilt creëren. Zo lieten ze aan Vice weten dat ze " $75,000 in Bitcoin or Ethereum, [..], or $100,000 worth of iTunes gift cards" willen, wat ook vrij raar klinkt.

Verder roepen ze dat ze bij 200 miljoen accounts gaan inloggen en gaan factory resetten, en dit lijkt mij ook erg onwaarschijnlijk, aangezien Apple dat wel snel door zal hebben. Ze hadden ook nog getweet dat ze "hun scripts aan het versterken waren zodat ze echt alle accounts konden resetten". Die tweet is ondertussen al verwijderd. Later ook dat het geen 519m accounts waren maar 627 miljoen.

Het enige dat ze echt hebben laten zien is dat ze inloggen bij een gestolen account. Klinkt bij elkaar allemaal als een hoop onzin.

[Reactie gewijzigd door Frikandel op 23 maart 2017 11:04]

Ook echt 100.000 dollar aan iTunes gift cards :Y)
Je moet de de wereldwijd geaccepteerde valuta Itunes Giftcard niet onderschatten hé :P
Haha, ja, alleen lijkt het me technisch vrij eenvoudig voor Apple om achteraf een eh.. 'bepaalde serie' iTunes GiftCards ongeldig te maken. Niet zo'n handig losgeld als je het mij vraagt. :+
Aan de andere kant: mochten ze de waarheid spreken (wat ik zeer betwijfel), dan is het voor hen niet zo moeilijk om alsnog alle accounts te resetten als de gift cards ongeldig worden gemaakt. Dat is dus niet zo'n sterke positie als het lijkt.
Maaarrrr… Belangrijke voordelen van deze strategie zijn:
1) Je koopt als Apple zijnde tijd. Zodat je op je gemak de zaak kan onderzoeken en maatregelen kan nemen. Een script dat account-resets weigert zodra er meerdere vanaf één IP-adres komen bijvoorbeeld. Zoiets kost wel wat tijd om voor te bereiden en te testen.

2) Het wordt voor politie en justitie een stuk makkelijker om de daders te vinden als ze echt GiftCards gaan verkopen, online of offline. Hoe dan ook duiken de personen die de kaarten gaan gebruiken op bij het inwisselen. Het zal niet meevallen zoveel kaarten te verkopen zonder allerlei sporen achter te laten, offline of online.
Zou je denken ? Ik vermoed dat ze die kaarten terstond zullen doorverkopen aan nietsvermoedende mensen. Of in ene of andere shop tekoop aanbieden. Zo krijg je toch nog wat geld binnen en ben je niet te traceren...
Ja, je verkoopt 'even' een ton aan iTunes waardebonnen op de markt wou je zeggen, zonder dat iemand het ziet? Of via een site, zonder dat tienduizenden mensen het zien? Nee, want daarvoor zijn het er veel te veel. Het duurt te lang en te veel mensen zijn er bij betrokken. Onmogelijk om daar ongezien mee weg te komen.
Die werden ook bij een scam uit een Indiaas callcenter gebruikt, was een tijdje terug een artikel over. Die dingen zijn overal geldig en niet te traceren. Vraag me wel af hoe ze omgezet worden naar bruikbaar geld, waarschijnlijk worden ze gewoon opnieuw verkocht in (web)winkels oid.
Lijkt me juist heel makkelijk. Losgeld wordt dan nog in "unmarked bills" gevraagd, maar itunes cards kunnen gewoon in twee dagen tijd massaal gescand worden. Iedere uitgave met een van die kaarten wordt geflagd en de verkoper, en via de verkoper de hacker, zijn zo getraceerd.
Op 200 miljoen accounts inloggen? Zijn ze wel eventjes bezig :)
Dat soort groepen hebben meestal ook wel een botnet, dan is dat zo gedaan.
Door e-mailadressen die in databases stonden van eerdere hacks in te voeren in iCloud, is het mogelijk om te kijken welke mailadressen ook in gebruik zijn voor Apple ID's.

Waarom geven ze bij login pages nou nog steeds aan dat een wachtwoord niet correct is of dat de gebruikersnaam niet voorkomt, dat snap ik echt niet.
Zelfde als bij wachtwoord vergeten pagina's aangeven dat een adres niet in de lijst voorkomt of nog erger, een gebruikersnaam kunnen invullen en dan terug krijgen "er is een bericht gestuurd naar piet@host.com" weet je ook meteen waar je moet beginnen met phishing.
Ik denk dat het een trade-off is tussen UX en security. Er zijn vele manieren om te kijken of een e-mailadres al in gebruik is bij een dienst.

Geeft hij het niet aan bij het inloggen (door bijv. aan weergeven van 'email of wachtwoord is incorrect'), dan kun je het proberen bij de 'wachtwoord vergeten' functionaliteit. Als het daar ook afgevangen wordt door bijv. 'Als u een account heeft, hebben we je een mail gestuurd om wachtwoord te resetten', dan is het altijd nog mogelijk via het signup proces.

Vele diensten gebruiken een emailadres als username, dus als je dan probeert om een account aan te maken bij die dienst, waarbij het emailadres/de username al in gebruik is, hoe wil je de gebruiker dat dan vertellen, zonder aan te geven dat het al in gebruik is?

Hier een artikel inclusief een aantal voorbeelden, waar het niet zichtbaar was via het login scherm, maar er wel op andere manieren achter konden komen. https://kev.inburke.com/k...name-or-password-useless/
Vele diensten gebruiken een emailadres als username, dus als je dan probeert om een account aan te maken bij die dienst, waarbij het emailadres/de username al in gebruik is, hoe wil je de gebruiker dat dan vertellen, zonder aan te geven dat het al in gebruik is?
Idee: "Open de net gestuurde mail om je account te bevestigen."
Mail: "Je hebt net geprobeerd met dit emailadres (<emailadres>) een account aan te maken, maar deze bestaat al! Ben je het wachtwoord vergeten? Klik hier."

Of iets in die trant. Moet toch prima kunnen?
Dat is toch gewoon irritant? Zo kan je meerdere malen naar je emails gaan kijken of het eindelijk gelukt is. Mensen haken na 2 mails af en zo loop je dus nieuwe gebruikers mis.
Dit kun je gewoon in 1 email doen. Normaal dan maakt een gebruiker geen tweede account aan met dezelfde email adres. Dus komt deze situatie ook weinig voor. Maar bij het aanmaken van een nieuwe account ahv een emailadres moet je zo zo bevestigen dat jij toegang hebt tot die mailbox. Dus je moet zo zo naar je email om deze te bevestigen dan kun je in een uitzonderlijk geval de mail krijgen dat deze al bestaat. zoals @Nicked dat aangeeft.
Ok ik was verward met usernames.
Sterker nog, zo gaat het vaak!
Account enumeration komt helaas nog te vaak voor, wat soms ook pijnlijk kan zijn. (link is misschien een beetje nsfw)
dit is een mooi filmpje dat het principe goed beschrijft... gaat over youtube filmpje IDs maar principe is hetzelfde:
https://www.youtube.com/watch?v=gocwRvLhDf8
Als in die eerdere hacks de wachtwoorden ook zijn gelekt (bijv omdat de hashing niet voldoende was), dan is het gewoon een kwestie van proberen of die combo van e-mailadres en wachtwoord ook werkt bij Apple toch? Dat probleem kan Apple helaas niet oplossen, behalve als ze TFA verplicht gaan stellen.
Is dat dan niet zo? Bij de Iphone van mijn vrouw staat TFA aan, en ik kan me niet voorstellen dat zij daar zelf bewust voor gekozen heeft. Lijkt me dus een actie van Apple dat die per default aangezet zijn?
Er wordt zeker om gevraagd bij een nieuwe install, onder het mom van "account updaten"/"veilig maken". Waar ze op zich een punt hebben.

[Reactie gewijzigd door EraYaN op 23 maart 2017 12:20]

Voor mijn part verplichten ze het maar. Soms ietwat vervelend, maar gehackt worden is nog iets vervelender lijkt me.
Het wordt gevraagd bij de meest recente update, min of meer in de vorm van opt-out. Daarna moet je, het standaard telefoonnummer accepteren of een ander ingeven. Is wel goed want niet iedereen is op de hoogte en nu wordt iedereen er mee 'geconfronteerd'.
Het hoeft niet zo te zijn dat dit hier het geval is. Het kan ook gewoon een script zijn die de gegevens uit verschillende hacks puur probeert bij diverse diensten. Zeker als ze zo snel mogelijk zo veel mogelijk accounts willen nagaan dan is wat jij beschrijft al te veel moeite voor ze.
Het gebeurt niet bij de loginpagina van icloud.com, maar wel bij iforgot als je je wachtwoord bent vergeten: https://iforgot.apple.com/password/verify/appleid

Ook bij het aanmaken van een nieuw account: https://appleid.apple.com/account#!&page=create

Bij het vergeten van een wachtwoord heb je bij Apple de keuze om een email te laten sturen of om je vragen te beantwoorden. Mail is simpel op te lossen, de vragen wat lastiger, maar dat zouden ze kunnen oplossen door gewoon random vragen te stellen als een emailadres onbekend is.

Aanmaken van accounts is wat minder gebruikersvriendelijk, maar ook dit kan via mail gedaan worden. Dit maakt het voor scripts in ieder geval een stuk minder makkelijk.
Klopt het dat iCloud (nog) geen 2fa ondersteunt?
Nee. 2FA & 2FS zitten al een hele tijd in alles met betrekking tot je AppleID.

https://support.apple.com/en-us/HT204915

[Reactie gewijzigd door iworx op 23 maart 2017 11:16]

Het staat in het artikel! 8)7

Ik heb het al een tijdje in gebruik. Werkt perfect.
In het artikel zag ik alleen staan 'en waar mogelijk tweetrapsauthenticatie aan te zetten', maar in mijn icloud hoefde ik geen extra code in te voeren omdat ik de browser als vertrouwde browser had ingeschakeld. Dat had ik niet meer helemaal scherp vandaar mijn vraag.
Nee, kun je gewoon aanzetten.
Nee .

Als je inlogt op https://www.icloud.com/ krijg ik na het invoeren van mijn naam + wachtwoord een "Verify Identity" scherm, en kan ik kiezen naar welk van mijn devices (of telefoon nummers) een code wordt gestuurd en als ik dan die code invoer, krijg ik pas toegang tot mijn iCloud omgeving.

Dus Ja iCloud Ondersteunt WEL 2FA.

Edit:

En als je inlogt krijg je ook nog een email van icloud (sorry voor het Engels) wel zo veilig ;)
Your Apple ID (....@.....) was used to sign in to iCloud via a web browser.

Date and Time: 23 March 2017, 2:58 AM PDT
Operating System: Windows
f the information above looks familiar, you can disregard this email.
If you have not signed in to iCloud recently and believe someone may have accessed your account, go to Apple ID (https://appleid.apple.com) and change your password as soon as possible.

[Reactie gewijzigd door mjcm op 23 maart 2017 11:08]

Ik heb het uit gezet, omdat ik bang ben dat ik nooit meer in mijn iCloud kom. Als ik mijn telefoon kwijt raak of gejat wordt of in de sloot valt ect. Of heb ik dat mis?
Wil hierbij melden dat Apple wel vaker dingen ontkent waarna ze uiteindelijk toch waar blijken te zijn :+

https://tweakers.net/nieu...yword=%22apple+ontkent%22
Leuk bedacht die zoekactie, maar uit de weergegeven resultaten blijkt niet dat jij gelijk hebt. Sterker nog alles wat Apple heeft ontkent (volgens die artikelen) in het verleden klopt volgens mij met de kennis van vandaag.

Apple ontkent hack bij iCloud: We moeten de resultaten even afwachten, maar als het net zo is als bij The Fappening dan ligt de schuld bij de (onwetende) gebruiker voor onzorgvuldig gebruik van wachtwoorden etc.

Apple ontkent bericht dat verkoop Watch terugloopt: Apple maakt geen verkoopcijfers bekend, dus er is geen basis voor zo'n beschuldiging van de ene partij en die uitspraak van Apple. Wel is het zo dat er een cyclus zit in goede verkopen bij release en rond feestdagen, en lagere verkopen in de periodes daartussen. Geldt voor elk luxeproduct lijkt mij. Tevens zijn ze beursgenoteerd, dus liegen hierover is niet slim.

Apple ontkent brandgevaar iPhone 6 na waarschuwing Chinese consumentenbond: Er zijn problemen met de batterij van de iPhone 6, maar die problemen slaan op capaciteitsverlies en niet op brandgevaar en kwamen vorig jaar aan het licht.

Apple ontkent dat het telecomprovider wil worden: Tot op heden (1,5 jaar later) is deze ontkenning waar gebleken. Wel bieden ze tegenwoordig geïntrigeerde Apple SIM's in iPads waarmee je databundels bij aangesloten providers kunt kopen. Wie weet wat de toekomst brengt, maar voor de komende jaren blijft deze ontkenning wel staan denk ik zo.

Apple ontkent dat het tool maakt om te switchen van iOS naar Android: Dat is natuurlijk de omgekeerde wereld. Wel is er een tijdje terug een tool ontwikkeld om van Android naar iOS te switchen ;)

Apple ontkent iCloud-hack na 'gegijzelde' iPhones, iPads en MacBooks: Ik weet hier niet meer goed de oorzaak van de gelockte iOS devices, maar dat het geen fout in iCloud betrof geloof ik wel. Even Googelen leert mij dat gebruikers mogelijk wederom onzorgvuldig om zijn gegaan met het gebruiken van hetzelfde wachtwoord voor diverse diensten.

Bovenstaande zo even opgesomd zegt mij dat Apple ook vandaag met dit statement niet de boel loopt te besodemieteren :)

[Reactie gewijzigd door swv op 23 maart 2017 11:10]

Ik zie daar niets tussen staan dat wel waar blijkt te zijn.

[Reactie gewijzigd door GeforceAA op 23 maart 2017 12:25]

En welke daarvan bleken achteraf waar te zijn?
Leuk lijstje, maar welke dingen zijn precies wel waar gebleken?
En wat is daar waarheid van dan? ;)
/

[Reactie gewijzigd door KaasDoosNL op 23 maart 2017 15:14]

Er zit overal throttling op. Je kan dus niet zo vaak je maar wil een wachtwoord proberen.
Daarnaast zitten er wel captcha's op diverse plekken, bijvoorbeeld op https://iforgot.apple.com/password/verify/appleid

Het is niet alsof ze na een miljoenen/miljarden investering om iets als iCloud op te zetten en te onderhouden even vergeten dat misbruik tegengegaan moet worden. De laatste keer dat er iets mis was ging volgens mij bij een iCloud Drive export endpoint in een private API, en dat was ook wel meer dan 5 jaar geleden.
Wat johnkeates zegt. Grappig hoor, altijd die theorieën, maar een mega groot bedrijf als Apple (of Microsoft of Google) zet echt niet zoiets op zonder zich inderdaad druk te maken om veiligheid. En ondanks dat wat jij zegt leuk klinkt, Apple is echt niet zo gek zomer even iCloud op te zetten en dan drie simpele veiligheidsmaatregelen te treffen en dan te denken: klaar!

Reken maar dat ze personeel in dienst hebben die echt flink bezig zijn om de boel veilig te houden.

Net zoals Slavy hierboven lekker simpel iets roept: iCloud was gehackt. En wat bleek? Helemaal niet. De zwakste schakel is altijd de mens. En tja, als je Justin Timberlake heet en idd simpele wachtwoorden gebruikt en dan voor www.broodrooster.com en voor iCloud.com dezelfde, tja. Dan is het wachten op.

Of de beveiliging bij Apple feilloos is, dat denk ik niet. Maar reken maar dat ze het serieus nemen.

Wat mij betreft gaat 2FA bij iCloud standaard aan, maar ja, als je dat doet dan zijn er altijd mensen die erop tegen zijn omdat het 'onhandig' is. Toch kunnen die mensen juist het gevaar opleveren. Kijk nou naar Facebook. De ene persoon wordt kriebelig als er een cookie op z'n computer staat, de andere plaatst de godganse dag zijn adres, telefoonnummer, foto's van de blote kleine kids en berichtjes dat ze lekker 4 weken op vakantie zijn ('het inbrekers'). Nu Kun je wel zeggen: eigen schuld dikke bult als het fout gaat, maar mi moet je (naar mijn mening naïeve mensen) proberen te beschermen. Maar uiteraard wel in alle redelijkheid.
Je hoeft zelfs niet eens wachtwoorden te verzinnen. Ik gebruik al jaren de ingebouwde wachtwoord generator van Safari, werkt ideaal. Voor elke website een uniek en sterk wachtwoord zonder zelf wat te doen.
Maar als je dan dus via verschillende I-Devices wilt inloggen, moet je de keychain en de passwords weer opslaan in de iCloud (waarvoor je het wachtwoord dus wel moet kunnen onthouden en wat dus geen semi-random gegenereerd wachtwoord van de Safari password generator zal zijn).
Als je iCloud wachtwoord dus achterhaald is, zullen vanaf dat moment je wachtwoorden van al je andere accounts ook bekend zijn bij deze hackers. Want zij kunnen dan ook met een i-Device en jouw account inloggen en de wachtwoorden synchroniseren.

Je hebt dan dus gewoon hetzelfde probleem als alle andere online password tools.
Ik geloof niet dat ik daar heel blij mee zou zijn......

[Reactie gewijzigd door walteij op 23 maart 2017 11:31]

En daar is nou 2FA voor! :) Gelukkig promoot Apple dit in de Instellingen app vanaf iOS 10.3 zodat meer mensen er vanaf weten.
Eens, problem is alleen dat mensen die een 'makkelijk te onthouden wachtwoord' fijn vinden, 2FA alleen maar ongemakkelijk vinden en het dus niet zullen gebruiken.

Overigens geld datzelfde voor een wachtwoord manager, die is ook 'alleen maar ongemakkelijk'. Gewoon overal hetzelfde wachtwoord gebruiken, met hetzelfde email adres of dezelfde gebruikersnaam. :z :z :z :z
Dat is dan wel gewoon mensen hun eigen fout. Dan kan ik ook echt geen medelijden hebben met mensen.
Het punt wordt een beetje dat elke website of elke app tegenwoordig 2FA wil. Uiteraard veiliger maar o zo irritant als je voor elke scheet weer moet verifiëren met een app, tool, mailcode of wat dan ook. Wat dat betreft hoop ik op een bepaalde innovatie die dit kan vervangen zonder dat het onveilig wordt.
Gebruik gewoon KeePass en stel die op je touchID in zodat je de meest bizarre wachtwoorden kan verzinnen die je niet hoeft te onthouden.
Volgens mij heeft Apple ook hackers en beveiligingsspecialisten in dienst heeft...
Zo stom is Apple niet, als ik Apple was had ik ook precies hetzelfde gedaan, ze inhuren.
Daarom heb je ook 2FA op iCloud, je hebt echt jouw device nodig om in te loggen. Of je mac, of je iphone of ipad. Dus ook al heb je mijn wachtwoord kom je er niet in.
Dat is niet waar, waneer je het icloud password wachtwoord hebt, heb je nog geen toegang tot keychain. Dat zelfde is van toepassing op meer gevoelige informatie welke wordt opgeslagen in iCloud. over de security hebben ze wel nagedacht.
Je hebt minstens nog een device van die gebruiker nodig om erbij te komen, of volgens mij een icloud security code.

Ook bij sommige andere password managers heb je nog steeds geen toegang met alleen het password.

Wat betreft de keychain beveiging zou ik je willen aanraden om het volgende artikel eens te lezen:
https://tidbits.com/article/14557
Op zich wel interessant: voor het wissen van iPhone/Mac heb je geen 2FA nodig, al staat het aan. Als je inlogd op icloud.com en er wordt gevraagd om je 2FA staan onderaan nog drie opties voor find my iPhone, apple watch settings en nog een andere (even ontschoten). Je kan dan gewoon al de find my iphone acties uitvoeren...

Als je echt je wachtwoord hebben, zouden ze dus wel al je apparaten kunnen wissen, 2FA of niet.
Onjuist, via iCloud.com kan je zonder 2FA je iPhone wissen. Hiervoor heb je enkel je e-email adres en wachtwoord nodig.

Zie screenshot: https://scr.web01.thahost...f19cba-23032017154643.png

Als je onderaan op 'Find My iPhone' klikt kan je daar gewoon je iPhone wissen.

[Reactie gewijzigd door Jelle op 23 maart 2017 15:47]

Heb je het geprobeerd? Nadat je je wachtwoord hebt ingevoerd, als er dus gevraagd wordt om de 2FA authentification, staan er drie knoppen onder (find my iphone, apply pay en watch settings, zoals ik eerder zei), je kan hier gewoon in op dat moment.

Het wordt hier ook aangehaald (met screenshot):
http://www.tomsguide.com/...ification,news-23097.html
Is toch ook vrij logisch? Als je je iPhone nodig hebt om je iPhone te vinden is het niet zo doeltreffend.

De clou van het verhaal vind ik ook vrij voor de hand liggend: "Use complex, hard-to-guess passwords". Dat wisten we al lang.

Ik vind het ook niet echt een security-issue als je nadat je iemands gebruikersnaam en wachtwoord achterhaald hebt kan inloggen op diens account. Daar dient dat wachtword ook voor.
Apple is beursgenoteerd, indien ze over dergelijk iets liegen, mogen ze enorme schadeclaims verwachten van de aandeelhouders, en riskeert de CEO zelfs een gevangenisstraf.

Verder heeft Apple helemaal geen track record betreffende het verspreiden van leugens. Als ze iets ontkennen, klopt dat ook gewoon. Ze weigeren wel vaak commentaar, of dat nu negatief of positief uitdraait.
Het verbaast me echt hoeveel mensen nog steeds denken dat bedrijven zoals Apple zomaar wat leugens kunnen vertellen zonder over de gevolgen daarvan na te denken.

Je kan bij Apple inderdaad heel gemakkelijk afleiden wat ze bedoelen. Ontkennen ze dan is het niet waar. Weigeren ze commentaar te geven dan is het waar of weten ze het zelf nog niet
Omdat je geen ervaring hebt met Apple? Kijk maar eens naar het lijstje van die grapjas die een query deed op "Apple ontkent" en wat blijkt daaruit? Als Apple ontkent dan is het ook niet waar.
Ik heb gemerkt dat men vorig jaar meerdere malen heft geprobeerd om toegang te krijgen tot mijn iCloud account. Op een gegeven moment werd het zo gek dat ik bijna heel de dag door autorisatie codes kreeg op mijn telefoon in het chinees.

[Reactie gewijzigd door monojack op 23 maart 2017 12:35]

En je hebt niet even het wachtwoord opnieuw ingesteld? Dan was je eraf geweest. Beter nog (maar zou niet noodzakelijk moeten zijn) is het primaire emailadres dat aan het apple id gekoppeld is te wijzigen. Dat valt voor een eventuele misbruiker niet te achterhalen waardoor "zijn spoor doodloopt".
Voordat je een primair emailadres via de apple id site wijzigt overigens wel altijd even op alle aangemelde apparaten bij icloud/itunes & appstore uitloggen anders gaat icloud over z*ik.
Huh? Wat heeft een nieuw wachtwoord instellen er mee te maken? Die persoon beschikte niet over mijn paswoord. Het paswoord voor mijn iCloud is uniek en sterk en mijn account is beveiligd met 2 staps verificatie.

Het was duidelijk dat men paswoorden aan het raden was. Dus of ik het paswoord veranderde of niet maakte echt niet uit hoor.
Ging dat onbeperkt door dan, die meldingen?
Voor zover ik weet zit er een limiet op en wordt het account sowieso vergrendeld bij een x aantal ongeldige inlogpogingen. Dan moet het wachtwoord sowieso opnieuw ingesteld worden.
Toegegeven: in deze situatie was je er meer mee geholpen door het primaire emailadres te wijzigen, dan kreeg de "gokker" vanzelf de melding dat het apple id niet bestaat.
Toch is het een vrij gebruikelijk advies bij vermoeden van misbruik, het wijzigen van het wachtwoord en (indien nog niet gedaan) inschakelen van 2-factor-authenticatie.

Ik hoop overigens dat je dat (2fa) bedoeld, tweestapsverificatie is de voorloper ervan. Weinig redenen (alleen een oud iOS apparaat kan dat zijn) om geen 2fa te gebruiken.
Toen ik wakker werd stonden er een heleboel notificaties op mijn telefoon. Mijn account was toen idd geblokkeerd maar toen ik terug kon inloggen na een tijdje begon het weer opnieuw. Het heeft zo'n 24u geduurd. Heb toen contact opgenomen met Apple maar zij konden niet veel doen zeiden ze. Maar het is toen wel gestopt.

Maar ik snap niet goed wat mijn primair mail adres er mee te maken heeft? Het probleem is dat ik mijn iCloud login lang geleden gebruikte als email adres en ook gebruikte om me te registeren op meerdere sites. Van die sites zijn er ondertussen veel gehackt en dat adres staat dus in veel van die databases.

En ja ik bedoelde 2fa
Als je een icloud adres als login gebruikte (wat dus ook je apple id is), dan probeert diegene dus daarmee via iforgot.apple.com het wachtwoord te achterhalen. Als je dat adres (het primaire emailadres in apple id jargon) wijzigt, dan is je apple id veranderd.
Mocht de misbruiker dat dan op iforgot.apple.com invoeren dan krijgt diegene dus een melding "dit apple id bestaat niet". Zijn ze er ook klaar mee.
Dat heeft het ermee te maken.

Bij jou zijn ze dus waarschijnlijk op je moeilijke wachtwoord stukgelopen, daar begint het natuurlijk mee ipv. je achternaam en geboortejaar of welkom01 als wachtwoord te gebruiken (bijv.).
Geen idee of dit er mee tte maken heeft, maar vanmorgen zat ik te werken en kreeg ineens een bericht op mijn iPhone dat mij AppleID werd gebruikt om in te loggen vanuit Chengdu, China. Zelf werk ik in Midden-Nederland. Mijn wachtwoord was al sterk, en gelukkig stond 2 factor authenticatie aan en kon ik de inlog tegenhouden.
Ik had ongeveer hetzelfde: had een aantal jaar terug een Iphone van de zaak, maar sinds 2 jaar gebruik ik die al niet meer - en ineens kreeg ik eergisteren een mail van Apple dat ik een reset van mijn wachtwoord aangevraagd zou hebben.

Dus maar direct mijn account gecheckt, wachtwoord gewijzigd en security vragen geupdate.

Maar toch toevallig. Of niet, natuurlijk. :-)

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*