Schon am Donnerstag konnten Hacker in Server der Entwickler-Plattform Dev Center von Apple eindringen und möglicherweise Namen und Adressen der registrierten Nutzer erbeuten. Mittlerweile hat sich ein "Sicherheitsforscher" zu der Tat bekannt. [...]
Wer derzeit die Apple-Entwickler-Plattform Dev Center besucht, wird von einer Entschuldigung begrüßt. Darin steht, dass die Plattform letzten Donnerstag von Hackern angegriffen worden war. Diese hätten versucht persönliche Daten der registrierten Benutzer zu stehlen. Weil diese aber verschlüsselt auf den Apple-Servern lägen, hätten die Hacker keinen Zugang zu den Daten, fügt Apple hinzu. Man könne sich aber nicht ganz sicher sein, ob nicht doch Namen, Post- und Mail-Adressen in die Hände der Hacker gelangt seien. Apple sieht sich verpflichtet, seine Nutzer von dem Angriff zu informieren, steht in der Mitteilung. Außerdem habe man die Seite sofort nach dem Bemerken des Angriffs offline genommen und arbeite seitdem rund um die Uhr an der Aufklärung. Um einen weiteren Vorfall zu vermeiden, werde das Dev Center generalüberholt. Die Datenbanken werden laut Apple neu gebaut und die Server bekommen Software-Updates. Man gehe davon aus, dass das Dev Center bald wieder online sei.
Wenn die Mitgliedschaft eines Entwicklers in den Tagen seit Donnerstag ausgelaufen ist, werde sie automatisch verlängert und die Apps des Betroffenen verbleiben im Store, verspricht der iPhone-Hersteller. In der Original-Nachricht finden Entwickler außerdem eine Kontaktadresse, an die sie sich bei spezifischen Problemen wenden sollen.
Wie the loop berichtet, habe Apple der Webseite in einem Gespräch verraten, dass nur das Dev Center betroffen sei, nicht aber iTunes. Die Hacker sollen außerdem nicht in den Besitz von App-Quellcode gelant sein, geschweige denn an die Server gelangt seien, auf denen die Apps liegen. Unter der potentiellen Datenbeute der Angreifer befinden sich keine Kreditkartendaten, berichtet die Seite.
„HACKER“ MELDET SICH
„Ich bin es gewesen und konnte 100.000 Accounts erbeuten“, meldete sich inzwischen der angebliche Apple-Hacker Ibrahim Balic zu Wort. Nun will er die Datensätze löschen – ihm sei es nur um den Beweis der Möglichkeit gegangen. Balic behauptet, viele der Datensätze seien nicht von Entwicklern, sondern von normalen Apple-Nutzern. Außerdem will er Zugriff auf die Vor- und Nachnamen, auf die Apple-IDs, Mail-Adressen und Nutzer-IDs haben.
Aber er sei kein Hacker, sondern ein Sicherheitsforscher, stellt Balic klar. Darum wolle er das erbeutete Datenpaket löschen, ohne dass jemand zu Schaden komme. Ihm sei es darum gegangen, aufzuzeigen, wie leicht Hacker bei Apple eindringen können. Die Sicherheitslücke, setzt er hinzu, habe er Stunden vor seiner Attacke an Apple gemeldet. Mittels eines einfachen „Unescaped Injection“-Angriffs habe er die Datenbank hacken können. Das Script dafür wollte er aber nicht verraten.
Ob Ibrahim Balic wirklich der Angreifer war, kann derzeit nicht einwandfrei nachgeprüft werden. Dazu müsste er das Script veröffentlichen oder andere Beweise liefern. Auch Apple schweigt bislang zu dem Statement des Sicherheitsforschers. Dessen Aussagen widersprechen allerdings zum Teil denen von Apple.
* Benjamin Schischka ist Redakteur der deutschen PC-Welt.
Be the first to comment