jump to navigation

Schon benutzte E-Mail-Adressen und das Leck in der iCloud… 19. Mai 2014

Posted by DL2MCD in Wie bitte?.
trackback

Als großen Skandal (den dann aber niemand wahrnahm) wurde vor ein paar Wochen dargestellt, daß jemand sich eine neue Apple-ID anlegte, doch dann die Kontakte eines anderen zu sehen bekam:

Exklusiv Apple iCloud Sicherheitslücke Datenleck

Ob das jedoch an der Apple-Cloud lag, das sei dahingestellt. Der Artikel behauptet, der andere Apple-User habe eine andere E-Mail-Adresse gehabt. Es gibt jedoch mit Verlaub so viele Leute, die sich bei ihrer eigenen E-Mail-Adresse vertun, daß ich einen Tippfehler hier auch für möglich halte – soweit ich mich erinnere, wird die E-Mail-Adresse beim Anlegen eines Apple-Accounts nicht durch eine Testmail überprüft.

Ich jedenfalls habe auf einer meiner E-Mail-Adressen etliche Newsletter, die jemand anders bestellt hat – nicht Spam, sondern echte Newsletter, z.B. für Fernsehaufzeichnungen oder einmal auch eine Bestellung einer Trabbi-Rundfahrt durch Jena.

Ebenso hatte ich vor einiger Zeit den Fall, daß ich meiner Partnerin Geld per Paypal schickte, doch dummerweise an die E-Mail-Adresse, die ich kannte, ihre Paypal-Adresse war aber eine andere. Eigentlich kein Problem, die andere Adresse muß man ja nur im Paypal-Account ergänzen, dann kann man das Geld abholen. Doch das ging nicht, die Adresse wurde von Paypal nicht akzeptiert und wir kamen an das Geld nicht mehr heran.

Ein Telefonat mit der übrigens sehr guten Paypal-Hotline ergab dort ziemliches Herumgedruckse, genaue Identitätsabgleiche, die rätselhafte Frage, ob wir schon mal in Augsburg gewohnt hätten und schließlich der Reset des Paypal-Accounts mit einem temporären Paßwort, dessen Daten an die hinterlegte E-Mail-Adresse gingen. Also an uns.

Wieso das?

Tja, das zeigte sich, als das angekündigte neu gesetzte Paßwort ankam und wir uns nun mit unserer E-Mail-Adresse einloggen konnten, was zuvor ja gescheitert war: Es war gar nicht unser Paypal-Account. Jemand aus Augsburg hatte es fertig gebracht, sich einen Paypal-Account mit einer E-Mail-Adresse anzulegen, die er gar nicht besaß – einen Buchstabe im Nachnamen hatte er vergessen und so stattdessen die spätere E-Mail-Adresse meiner Partnerin erwischt. Allerdings hatte sie die damals auch noch nicht, sonst wäre ihr vermutlich damals schon durch die Verifizierungs-E-Mail etwas aufgefallen. Sie hatte sie erst wenige Wochen vor dem Vorfall angelegt und der andere Paypal-Account war über zwei Jahre alt.

Mit der Nutzung des Paypal-Accounts dürfte die Dame aus Augsburg dann nicht weit gekommen sein, denn hier wird ja die E-Mail-Adresse verifiziert, und das hat dann natürlich nicht geklappt. Doch angelegt war er hiermit, und so saß nun etliche Jahre später das Geld auf diesem fest.

Wir haben es dann von dort auf den richtigen Account transferiert und den falschen gelöscht. Da der auf den Namen eines Fremden lautete, hätten wir ihn ohnehin nicht weiter nutzen dürfen. Da wir allerdings die hinterlegte E-Mail-Adresse hatten, war auch klar, daß uns das eingegangene Geld zustand und nicht der Frau aus Augsburg. Doch auch nur dank der Flexibilität der Paypal-Hotline, die über diesen Fall verständlicherweise verblüfft war, doch entschied, daß sich über den Empfang der Paßwort-E-Mail entscheidet, wem das Geld gehört. Wäre man hier nach Datenschutz-Aspekten vorgegangen, wäre es vermutlich mindestens für Monate weg gewesen.

Von daher halte ich es durchaus für denkbar, daß sich versehentlich jemand eine Apple-ID mit falscher E-Mail anlegt. Ist die dann einmal in iTunes gespeichert, fällt sie auch nicht mehr ins Auge.

Was die Folgen sind, wenn sich jemand die eigene E-Mail-Adresse aneignet, beispielweise auf dem beliebten Weg, sich die eigene Domain einzuklagen, oder auch eine irrtümlich abgelaufene Domain zu übernehmen, ist klar. Apple kann dann aber nur insofern etwas dafür, weil sie eine E-Mail-Adresse als ID verwenden und wenn sie die angegebene E-Mail-Adresse dann auch noch nicht verifizieren. Spätestens bei einer Supportanfrage müßte das aber auffallen, denn die Antwort geht dann an die Apple-ID und nur an die.

Persönlich halte ich es für einen Fehler, eine solche ID direkt mit einer E-Mail-Adresse gleichzusetzen. Schon aus Sicherheitsgründen – die E-Mail-Adresse kennen auch Dritte, wenn man sie nicht nur als Apple-ID nutzt, und müssen dann nur das Paßwort erraten. Ebay hat aus diesem Grund ja das Einloggen mit E-Mail-Adresse statt ID irgendwann vor ein paar Jahren abgeschafft. Aber eben auch, weil einem in Deutschland E-Mail-Adressen auf dem Rechtsweg abhanden kommen können. Bei Amazon, Ebay und Paypal kann man die hinterlegte E-Mail-Adresse ändern, solange man es tut, bevor einem der Zugriff auf die bisherige entzogen wird. Bei Apple kann eine einmal gewählte Apple-ID dagegen nicht geändert werden. Ist die E-Mail-Adresse weg, könnte es schwierig werden, die Inhalte der Apple-ID auf eine neue Apple-ID übertragen zu lassen. Man könnte sich zwar auch zukünftig noch in die alte Apple-ID einloggen, aber nur so lange, bis der neue Inhaber der E-Mail-Adresse auf die Idee kommt, sich mit eben dieser bei Apple anmelden zu wollen und dann ein neues Paßwort anfordert. Dann ist die Apple-ID „weg“, wie in obigem Fall beschrieben, sie hat nun ein anderer, und damit eben auch alle iPhone-Inhalte, gekauften Apps und Musiktitel etc.

Nein, ich habe nicht nachrecherchiert, ob das in diesem Fall tatsächlich so war. Ich halte es aber nach meinen Erfahrungen für plausibel. Mangelnde Sicherheit, ja. Aber nicht in der Cloud, sondern im ID-System selbst.

Advertisements
%d Bloggern gefällt das: