Cook sagt, iCloud-Foto-Hacks waren nicht ihre Schuld

Apple Inc. sagte, dass es zusätzliche Schritte plant, um Hacker aus Benutzerkonten fernzuhalten, bestritt jedoch, dass eine nachlässige Einstellung zur Sicherheit es Eindringlingen ermöglicht hatte, NSFW-Fotos von Prominenten im Internet zu veröffentlichen.

Das Unternehmen wiederholte auch, dass Apple die Nutzung eines verbesserten Sicherheitssystems namens „Zwei-Faktor-Authentifizierung“ ausweiten wird, das von einem Benutzer oder einem Hacker verlangt, zwei von drei Dingen zu haben, um auf ein Konto zuzugreifen: ein Passwort, einen separaten vierstelligen Einmalcode oder einen langen Zugriffsschlüssel, der dem Benutzer bei der Anmeldung für den Dienst gegeben wurde.

Wenn die Funktion aktiviert ist, verlangt Apple von den Benutzern, zwei dieser Schritte abzuschließen, um sich von einem neuen Gerät aus in ein iTunes-Konto einzuloggen.

Im Rahmen der nächsten Version seines iOS-Mobilbetriebssystems, die später in diesem Monat veröffentlicht wird, wird die Funktion auch den Zugriff auf iCloud-Konten von einem mobilen Gerät aus abdecken.

Apple sagte, dass die Mehrheit der Benutzer die Zwei-Faktor-Authentifizierung nicht nutzt, daher plant das Unternehmen, die Menschen in der neuen Version von iOS aggressiver zu ermutigen, sie zu aktivieren. Wenn die Prominenten das System aktiviert hätten, hätten Hacker nicht die Möglichkeit gehabt, die richtige Antwort auf Sicherheitsfragen zu erraten, sagte Apple. Apple-CEO Tim Cook spielte auch mögliche Probleme mit der Sicherheitsüberwachung seitens Apple für den Leak herunter.

Während 2FA bereits über das Web verfügbar ist, werden Benutzer es bald auch von iPhones und iPads aktivieren können – ein bemerkenswerter Mangel im Sicherheitsoptionsmenü bis jetzt, angesichts der nahezu allgegenwärtigen Apple-Geräte in einigen Märkten, wie den Vereinigten Staaten. Zusätzlich zu einer Apple-ID und einem Passwort haben die Benutzer die Möglichkeit, einen PIN-Code zu verlangen, der über SMS an das Gerät gesendet wird, oder einen Schlüssel, der zum Zeitpunkt der Anmeldung generiert wird.

Außerdem wird Apple in etwa zwei Wochen damit beginnen, Benutzer per E-Mail und Push-Benachrichtigungen zu benachrichtigen, wenn ein neues Gerät versucht, sich zum ersten Mal in ein iCloud-Konto einzuloggen, und wenn jemand versucht, iCloud-Daten auf einen neuen Endpunkt wiederherzustellen. Es wird auch eine Push-Benachrichtigung senden, wenn ein Passwortwechsel versucht oder vorgenommen wird. **

Apple war nach dem Foto-Leak Gegenstand negativer Publicity. Der Diebstahl, der etwa 100 ahnungslose Prominente betraf, wurde ursprünglich als Brute-Force-Angriff angesehen, der eine Reihe von etwa 500 gängigen Passwörtern verwendete, um zufällig zu versuchen, in Konten einzubrechen. Die Implikation ist, dass Apple keine Begrenzung für die Anzahl der Versuche gesetzt hatte, die Kontodaten ausprobiert werden konnten, bevor der Benutzer ausgesperrt wurde.

Als er jedoch mit dem Wall Street Journal sprach, sagte Cook, dass Prominente Opfer des Hackings ihrer iCloud-Konten wurden, weil die Täter in der Lage waren, die Anmeldedaten erfolgreich zu phishen oder die Sicherheitsfragen korrekt zu beantworten – und damit die Schuld direkt auf die Schultern der Prominenten selbst zu legen.

Aber Herr Cook sagte, dass die wichtigsten Maßnahmen zur Verhinderung zukünftiger Eindringlinge möglicherweise mehr menschlich als technologisch sein könnten.

Insbesondere sagte er, dass Apple mehr hätte tun können, um die Menschen über die Gefahren von Hackern, die versuchen, ihre Konten ins Visier zu nehmen, oder die Bedeutung der Erstellung stärkerer und sicherer Passwörter aufzuklären.

*„ Wenn ich von diesem schrecklichen Szenario zurücktrete und darüber nachdenke, was wir mehr hätten tun können, denke ich an den Bewusstseinsaspekt,“ sagte er. „Ich denke, wir haben die Verantwortung, das zu steigern. Das ist nicht wirklich eine Ingenieursangelegenheit.* “

* Die Apple-IDs und Passwörter wurden, betonte er, nicht von den Servern des Unternehmens geleakt oder gestohlen. Und er wies auf die Pionierstellung des Unternehmens bei Biometrie hin, mit dem Touch ID-Fingerabdrucksensor in seinem iPhone 5S.*

Apple sagte, es arbeite mit den Strafverfolgungsbehörden zusammen, um den Vorfall zu untersuchen und die Hacker zu identifizieren. Ein Sprecher lehnte es ab, die Anzahl der kompromittierten Benutzerkonten zu spezifizieren, und verwies auf die laufende Untersuchung.

„ Wir wollen alles tun, was wir können, um unsere Kunden zu schützen, denn wir sind ebenso empört, wenn nicht sogar mehr als sie,“ sagte Herr Cook.

Apple kämpft darum, seinen Ruf zu wahren, seine Benutzer zu schützen, vor einer großen Produktankündigung in der nächsten Woche. Das Unternehmen sieht sich der Art von negativer Publicity gegenüber, die es normalerweise zu vermeiden wusste, eine Situation, die durch die Popularität der Opfer verstärkt wird.