Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties

Wie het e-mailadres en de geboortedatum van iemand met een Apple ID weet, kan het wachtwoord van die persoon aanpassen. Dat kan door een beveiligingsprobleem in de 'wachtwoord vergeten'-functionaliteit te misbruiken.

Technologiesite The Verge kwam het beveiligingsprobleem op het spoor: ergens op internet staat uitgelegd hoe het wachtwoord van iemands Apple ID eenvoudig kan worden gewijzigd. Normaliter is voor het wijzigen van een wachtwoord, naast het kennen van het mailadres en de geboordedatum, ook het antwoord op een geheime vraag nodig, maar het blijkt mogelijk die vraag te omzeilen.

Hoe dit precies in zijn werk gaat, is onduidelijk; The Verge doet dat uit veiligheidsoverwegingen niet uit de doeken en linkt niet naar de website waar het beveiligingsprobleem uit de doeken wordt gedaan. Inmiddels is de 'wachtwoord vergeten'-functionaliteit onbereikbaar; de kans is groot dat Apple dat uit voorzorg heeft gedaan, om misbruik van het beveiligingsprobleem te voorkomen.

Gebruikers die two-factor authentication hebben ingeschakeld, zijn niet kwetsbaar voor het probleem. Die functionaliteit, waarbij gebruikers naast een wachtwoord ook een andere code moeten invoeren die naar iemands mobiele apparaat wordt verzonden, is echter nog niet beschikbaar in Nederland en België. Two-factor authentication werd deze week geïntroduceerd door Apple; onder meer Google, Dropbox en Facebook bieden de veiligere loginmethode al langer aan.

Apple ID password reset

Lees meer over

Apple iPhone 5

vanaf € 449,-

Vergelijk prijzen

Apple iPhone 4S

geen prijs bekend

Alle 3 producten

Gerelateerde content

Alle gerelateerde content (9)
Moderatie-faq Wijzig weergave

Reacties (69)

-169060+124+20+30Ongemodereerd22
1 2
+1 Grrrrrene
22 maart 2013 21:57
Toch slordig dat dit kan, maar goed dat ze de service meteen offline halen als het lek blijkt te zijn. Hopelijk wordt de 2-factor authenticatie in Nederland en België ook snel ingevoerd. Ik gebruik het al een hele tijd met GMail en het geeft toch net wat meer veiligheid :)
0 mkools24
@Grrrrrene22 maart 2013 22:08
Ik gebruik ook 2-factor met GMail maar nog vertrouw ik het niet. Wie mijn GMail account hackt heeft zo'n beetje mijn hele leven en dat vertrouw ik Google niet toe, dus ik zit er al lange tijd aan te denken om het bij Google weg te halen en zelf iets te gaan draaien.
+1 Tarilo
@mkools2422 maart 2013 22:23
En jij denkt dat je jouw informatie beter kan beveiligen dan google? Die kans lijkt mij zeer klein ;)
+1 HerrPino
@Tarilo23 maart 2013 00:15
Natuurlijk kun je dat zelf beter.
a) als je je informative aan Google geeft heb je het eigenlijk al weggegeven.
b) Google moet het volgens de Patriot Act gewoon aan de autoriteiten in de VS geven wanneer die er om vragen.
c) de software van Google is ook gewoon door mensen geschreven en ... mensen maken fouten
d) je kunt je gegevens op een externe opslag medium plaatsen, veel sterkte met het hacken daarvan (als ik slaapkamer filmpjes/foto's zou hebben dan zou ik die toch liever niet via het web beschikbaar hebben)
+1 RielN
@HerrPino23 maart 2013 09:42
a) Nee, die informatie is van jou. Google gebruikt die wel om jou van advertenties te voorzien. Die voorwaarden zijn strikt, in tegenstelling tot wat veel geFUD wordt.

b) Juist. Serieus, die kans is kleiner dan dat iemand jou harddisk thuis jat. Vele malen kleiner. Sterker, voor individueen die niet bekend staan als terroristische dreiging voor de VS, is die kans nihil, nagenoeg uitgesloten. Hij wordt er altijd bijgesleept maar speelt nauwelijks een significante rol.

c) Alleen minder fouten dan jij. De beveiligingscertificering van GOogle's system is iets waar grote bedrijven niet aan tippen, laat staan jij thuis. Niet voor niks dat KLM, Randstad, BVBA, Ahold en dat soort jongens het liever aan Google overlaten.

d) Precies, maar voor die gegevens gebruik je Google neem ik aan niet.

[Reactie gewijzigd door RielN op 23 maart 2013 09:44]

+1 MadEgg

@RielN23 maart 2013 12:05
Mogelijk is het waar dat de kans dat je harde schijf thuis gejat wordt groter is. Er zit dan echter een flinke discrepantie tussen vraag en aanbod.

Degene die daadwerkelijk de stap neemt om je raampje in te tikken en de harde schijf mee te nemen doet dat uit financieel oogpunt en interesseert het geen reet wat erop staat. Vrijwel altijd zal de schijf leeggegooid worden en doorverkocht.

Een hackpoging is in die zin veel laagdrempeliger, gevoelsmatig is het, omdat het digitaal is, minder ernstig dan fysiek bij iemand inbreken. Bovendien zijn het over het algemeen wel hoger opgeleiden die daaraan gaan beginnen en dus ook heel andere doelen hebben met hun hack.

Los daarvan blijft het nog steeds veel lucratiever om Google te hacken dan iemands server die hij thuis draait, los van of die laatste beter of slechter beveiligd is. Kun je Google hacken, dan heb je toegang tot een enorme hoeveelheid gegevens van een enorme hoeveelheid mensen. Hack je het servertje wat Henk thuis heeft draaien, dan heb je de gegevens van Henk, en misschien, als je mazzel hebt, van enkele mensen in zijn omgeving.

Daardoor zal het toch wel degelijk veel veiliger zijn om zelf je gegevens te hosten / op te slaan. Het enige wat je moet doen is de basis beveiliging op peil houden: security updates installeren, geen brakke software gebruiken, dat soort dingen.
0 enomiss
@HerrPino23 maart 2013 04:17
goh, wat een beveiliging, jij met je harde schijf. het enige wat iemand hoeft te doen is een raampje in te tikken en jouw schijfje pakken. droom maar lekker verder.
0 bbob1970

@enomiss23 maart 2013 10:11
Afgezien van een brand of blikseminslag dan is als je data naar de bliksem ;-)
+1 Wwwillem
@HerrPino23 maart 2013 04:36
Dat zou alleen helpen als niet elke mail die in jouw 'veilige' inbox staat niet ook al bij iemand anders in de mailbox staat.
+1 sypie
@LopendeVogel23 maart 2013 11:19
Apple gebruikers nemen naar mijn idee niet vaak Apple spullen omdat ze het idee hebben dat ze dan beslist veilig zijn. De grootste aankoopreden zal zijn dat het er mooi uit ziet en dat het werkt zoals het moet werken.

Onder OSX is de veiligheid wél beter geregeld, althans als je tenminste een EFI-wachtwoord hebt ingesteld.
(zelf Apple gebruiker)
0 BoringDay
@mkools2422 maart 2013 22:40
het probleem is je kan wel je account verwijderen maar de informatie blijft gewoon achter op de server. En wellicht zullen er nog een hoop servers zijn met een enorme collectie data van persoonsgegevens.

Daarbij denk ik het niet alleen een menselijk probleem is maar ook een technisch probleem.
Teveel script talen met waarvan elke wel vele gebreken heeft en omslachtige constructies.
+1 mad_max234
@BoringDay22 maart 2013 23:07
Ging hem om dat zijn account gehackt kon worden en zo zijn mails en documenten, agenda, en alle andere diensten in een klap open liggen voor die gene die het hackt.

Als je acoount verwijderd is het probleem weg, dat data er nog opstaat betekend niet dat al zijn data nog te hacken valt via dat enen hoofd account, die bestaat niet meer, geen koppeling meer naar buiten toe voor de data.

En moesten website voortaan niet alle data echt verwijderen? En data achter een account kan nooit door andere server zijn opgeslagen, openbare data wel die word door cache servers overal opgeslagen.
+1 RielN
@BoringDay23 maart 2013 09:45
Neen, Google spant zich ten zeerste in je account te verwijderen. UIteraard zijn er tapebackups waar je account uit zal moeten groeien.

Daarvoor is verwijderde mail ook zeer lastig terug te halen. Dit is een mooi artikel en absoluut de moeite van het lezen waard:

http://www.theatlantic.co...ve/2011/11/hacked/308673/

[Reactie gewijzigd door RielN op 23 maart 2013 09:46]

0 LighScan
@mkools2422 maart 2013 23:17
Same problem here. Zelfs mijn sms'jes/belhistorie worden middels een Android-app (SMS Backup+) naar Gmail overgeheveld.
0 wootie
@mkools2422 maart 2013 23:44
tja en dat ga zeker veiliger zijn.?
+1 HoppyF
22 maart 2013 22:04
Tja, die two factor authenticatie is niet voor niets bedacht!
Het is gewoon noodzakelijk om je ID te beschermen.
+1 FireStarter
22 maart 2013 22:56
Het scheelt dat je altijd de CC gegevens moet invullen als je op een onbekend apparaat inlogt...
0 supersnathan94

@FireStarter23 maart 2013 10:37
Niet als je click and buy gebruikt. Dan is ww genoeg.
0 FreshMaker
@FireStarter23 maart 2013 16:11
Het scheelt dat je altijd de CC gegevens moet invullen als je op een onbekend apparaat inlogt...
Nee hoor, gewoon antwoord op de 2 beveiligings vragen.
Dan is je iTunes account vrij, met het tegoed wat je nog hebt

En aangezien de meesten toch zo'n aversie hebben tegen een CC, gebruiken ze de ituneskaarten
( met korting, bij de bonus van appie, want we blijven hollanders :+ )
+1 bitflusher
22 maart 2013 23:38
Wel vreemd dat je de ingevoerde geboortedatum niet kan wijzigen bij Apple.
Ik heb mijn creditcard in ieder geval voorlopig losgekoppeld.
0 Grrrrrene
@bitflusher23 maart 2013 10:41
Tsja, mensen veranderen nu eenmaal niet zo vaak van geboortedatum. Kun je iets als geslacht wel aanpassen (wat in de medische wereld iig daadwerkelijk mogelijk is :+)?
0 FreshMaker
@Grrrrrene23 maart 2013 16:13
Wel vreemd dat je de ingevoerde geboortedatum niet kan wijzigen bij Apple.
( en dan nog + waarderingen krijgen ..... )

Ik heb wel degelijk verschillende geboortedata ... iTunes, Facebook en google hebben niet mijn eigen "echte" jaar ...

Security avant la problem ...
0 j-phone
22 maart 2013 22:19
Dit is dus de reden dat ik nooit, maar dan ook nooit, mijn echt persoonlijke gegevens invul op een site. Je bent teveel afhankelijk van de integriteit van de software om die gegevens niet te laten misbruiken. 'Geheime vragen' heb ik nooit een goed idee gevonden, een beetje social engineering via Hyves of Facebook doet wonderen.

En dan te bedenken dat er plannen waren (of nog steeds zijn?) waar je verplicht met je eigen naam op een forum moet gaan zitten en het gebruiken van een alias not done is.
+1 Henrikop
@j-phone22 maart 2013 23:35
Ik vul de geheime vragen altijd wel, maar dan sla ik in lastpass het antwoord op wat dan lijkt op : @^GDwedf&BDIDI@

Zal niemand goed kunnen beantwoorden.

Security vragen is gewoon een cheap-ass methodiek voor luie providers die geen contact willen met klanten, alles moet op basis van selfservice. Ofwel alles draait om goedkoop.
+1 HakanX
@Henrikop23 maart 2013 00:25
Ik zet ook altijd de meeste rare niet te raden lange teksten neer bij geheime vragen. Maar dat maakt in dit geval dus niks uit, die stap wordt gewoon overgeslagen.. :s Waardeloos in elkaar gezet ('beveilings')systeem dus.
0 supersnathan94

@HakanX23 maart 2013 10:38
Nee hij wordt omzeild. Dat is iets anders.
0 MadEgg

@HakanX23 maart 2013 12:11
Idem, maar dat bijt je soms ook in je aars. Bijvoorbeeld voor Diablo III had ik op Battle.Net ook een dergelijke secret question beantwoord door wat in het wilde weg op mijn toetsenbord te rammen.

Op een gegeven moment wilde ik in de trein eens inloggen via het WiFi in de trein. Helaas, mijn account werd geblokkeerd omdat het afweek van mijn inlogpatroon (echt geweldige, dat soort 'beveiligingsmethodes' 8)7). Vervolgens moest ik hem deblokkeren door mijn 'secret question' beantwoorden... Ja, die wist ik dus niet.

Alternatief was de cd-key van Diablo III in te vullen. En tja, die weet ik natuurlijk ook niet uit mijn hoofd. Effectief buitengesloten uit mijn eigen account dus.

Dat men probeert dingen te doen om de beveiliging te verbeteren vind ik prima, maar het moet wel in perspectief gezien blijven. Het ging hier verdorie om een game-account wat ik gebruik om een spelletje te spelen. Niet om het bedieningspaneel van een kernbom-lanceer-platform. En persoonlijk zie ik dingen als Facebook, Gmail en dergelijke in hetzelfde rijtje als een game-account, belangrijke / waardevolle informatie zet ik er toch niet op.
0 jabwd
22 maart 2013 22:02
Dit is volgens mij niet de eerste keer dat er een fout gevonden is in het 'forgotten password' gedeelte van je apple ID... erg slordig dit.
+1 NomenNanne
@jabwd22 maart 2013 22:07
100% veilig bestaat nooit, en over enkele jaren klaagt iemand over het feit dat je nog steeds via een 2-factor authenticatie met een telefoon kan inloggen en dat het zo onveilig is. Slordig ja, zal zoiets binnenkort ergens weer opduiken ja.

O/T - misschien ben ik paranoide maar je telefoonnummer bij en apple en google, hoe zit het met privacy. Je bent nu wel helemaal makkelijk overal te volgen.
+1 mad_max234
@NomenNanne22 maart 2013 23:15
klopt, fouten worden gemaakt, daar ontkom je niet aan, en je moet bedrijf de kans geven om het op te lossen, doet apple dat ook netjes, niks op aan te merken.

Maar ik zou me wel schamen als ik zoiets zou maken, is belangrijk onderdeel. En niemand die even kon nadenken en bij zichzelf dacht mail adres en geboorte datum geregeld in de mail zelf staan bij elkaar en dat dat geen slim idee zou zijn om dat te gebruiken om je wachtwoord aan te passen.

Zou bijna denken dat het vroege 1 april grap is, kan het gewoon niet geloven dat men zo dom kan zijn. Zoiets kan je toch niet bedenken en ook nog uitvoeren en dan al die tijd gewoon denken dit is veilig systeem, kan er bij mij niet in. Ik zou mensen die dit gemaakt hebben voortaan een andere taak geven in het bedrijf, koffie halen of zo! :D
+1 curumir
@mad_max23423 maart 2013 11:04
Het staat niet heel duidelijk in het tweakers artikel, maar het gaat om een (simpele) hack.
The exploit involves pasting in a modified URL while answering the DOB security question on Apple's iForgot page. It's a process just about anyone could manage, and The Verge has confirmed the glaring security hole firsthand.
Heel erg slecht, maar dat is niet hoe iemand het bedacht heeft.

Verder heeft Apple het al opgelost:
http://www.theverge.com/2...r-fixing-security-exploit
iMore first reported that the exploit, which involved manipulating a URL, was no longer active. We have been able to confirm this in our own testing.
+1 TheDevilOnLine
@NomenNanne22 maart 2013 22:15
Voor two-factor authentication bij google hoeft je telefoonnummer helemaal niet bekend te zijn, je leest met een app op je telefoon een qr-code in (die de sleutel voor de generatie bevat), maar je kan ook een applicatie op je pc of een app op je tablet installeren om de two-factor authentication te gebruiken.

O/T - Ik snap niet wat de reden kan zijn dat two-factor authentication nog niet in Nederland en België beschikbaar is. Goede actie dat ze het nu meteen dichtgooien hoor, maar toch erg slordig dat het nodig is.

[Reactie gewijzigd door TheDevilOnLine op 22 maart 2013 22:15]

0 Xqlusive
@NomenNanne22 maart 2013 23:12
100% veilig bestaat zeker wel!
http://ertos.nicta.com.au/research/l4.verified/
+1 Jaap-Jan
@Xqlusive23 maart 2013 01:11
Je kunt van software alleen maar bewijzen dat het 100% correct is, dat er geen bugs in zitten. Maar daarmee kun je nog niet de claim doen dat een systeem 100% veilig is.

Gebruikers zijn namelijk zelf regelmatig de zwakste schakel in beveiliging, social engineering is aan de orde van de dag. Zelfs al zijn de systemen 100% waterdicht, dan nog zal het mogelijk zijn voor kwaadwillenden om er misbruik van te maken.

Maar laten we wel wezen, we hebben het hier over een microkernel van hooguit 8600 regels code. Van zo'n geringe hoeveelheid code is veel makkelijker de correctheid te bewijzen dan bijvoorbeeld de (monolitische) Linux kernel, die meer dan 15 miljoen regels code bevat.

En vergeet ook de quote niet die ze zelf ook doen:
A cynic might say: proofs like this only show that every fault in the specification has been precisely implemented in C.
Je programma kan dan 100% bewezen correct zijn, maar als er een fout zit in de specificaties, dan zal de resulterende code stomweg dezelfde fouten bevatten.
0 BoringDay
@Jaap-Jan23 maart 2013 14:32
10 regels code of 10.000 regels code doen er niet toe.
Elke regel code kan je over nadenken uitwerken en testen.
Maar als men te snel wil dan is dat juist het struikel blok.

[Reactie gewijzigd door BoringDay op 23 maart 2013 14:33]

+1 dacloo2
@BoringDay23 maart 2013 02:48
100% beveiligd bestaat niet. Als je een bunker van 10 meter dik beton maakt kan er nog steeds een meteoriet doorheen. Alles is relatief, ook digitaal gezien.
0 Mijzelf
22 maart 2013 23:25
Geboortedatum? Hoe weet Apple die?
0 IXyzyxI
@Mijzelf22 maart 2013 23:32
Van Google of als je t zelf invult
0 darkfader
@IXyzyxI24 maart 2013 01:15
en anders kun je 1970-01-01 proberen :+
0 arniejj
@darkfader24 maart 2013 09:28
Een datumveld gaat in een RDBMS wel verder dan alleen 1970. Tenzij Apple ook opslaat op welk tijdstip je geboren bent en ze het in een DateTime veld stoppen..
0 sparkle
23 maart 2013 04:41
Mij lukt het geen eens zelf om achter me beveiliging antwoord (die ik vergeten ben) te komen of te resetten. En blijkbaar anderen kunnen dus blijkbaar mijn wachtwoord wijzigen? Grappig
0 Peatsmoke
23 maart 2013 06:43
Het resetten van een wachtwoord is altijd een risico. Wie kent niet die ene account waarvan je de gebruikersnaam en ww niet meer kent?

De combinatie van mail en geboortedatum is wel heel simpel met alle sociale media.
Dit soort mogelijkheden zijn echter vaker de zwakste schakel.

Hoefde die reset niet bevestigd te worden middels een link en een mail?
0 Jasper Janssen

@Peatsmoke23 maart 2013 10:57
Dat systeem hoort beveiligd te zijn met veel meer dingen nog, maar het probleem is dat er een fout in de website zat waardoor je door urls te manipuleren wat stappen over kon slaan.

Typisch gevalletje oeps, niet gevalletje slecht ontworpen.
0 jprommen
23 maart 2013 06:52
Het gat is al gedicht. Lijkt me prima. Ik vind zelf dat Apple toch vaak snel en prima acteert op fouten. Foutloos bestaat niet, dus dit is toch waar het om gaat.
1 2

Op dit item kan niet meer gereageerd worden.


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True