Een groep hackers die zichzelf de Turkish Crime Family noemt probeert op dit moment Apple te chanteren. Ze claimen de inleggegevens van heel erg veel accounts te hebben, als Apple niet voor 7 april betaalt dreigen ze die te wissen.

De som die ze eisen is 75.000 dollar Bitcoin of Ethereum (een vergelijkbare digitale valuta), of anders 100.000 dollar aan iTunes giftcards. Apple zou in contact zijn met de hackers een ze onder andere om een gedeelte van hun data bewijs hebben gevraagd.

Tegelijkertijd maakt Apple ook duidelijk dat ze uit principe niet zullen betalen, en dat ze een video die de hackers gemaakt hebben van YouTube moet worden verwijderd. Wij hebben die video trouwens niet kunnen vinden, dus misschien is dat al gebeurd.

We firstly kindly request you to remove the video that you have uploaded on your YouTube channel as it's seeking unwanted attention, second of all we would like you to know that we do not reward cyber criminals for breaking the law.

De grote vraag voor ons op dit moment lijkt vooral of deze hackers daadwerkelijk beschikken over de data die ze claimen in hun bezit te hebben. Dat is nog maar de vraag, zo claimde één van de hackers op een gegeven moment dat toegang tot 300 miljoen Apple mailaccounts zouden hebben, waaronder @icloud en @me mailadressen. Maar een andere hacker uit dezelfde groep claimde vervolgens dat het om 559 miljoen accounts ging.

Meer hierover in dit artikel van Motherboard. Wil je jezelf beschermen tegen dit soort ellende, dan zou het instellen van twee-staps-verificatie wel eens het antwoord kunnen zijn. Apple biedt dat al langer aan, hoe je dat instelt kan je vinden op deze support-pagina van Apple zelf.

Let wel op dat als je twee-staps-verificatie aanzet, dat je dan erg zuinig moet zijn op je herstelcode. Die kan je nodig hebben als je het apparaat dat gebruikt wordt om te kijken of jij het het echt bent die in wilt loggen, (dat kan een iDevice of een Mac zijn) niet meer zou hebben.


Updates: Apple heeft inmiddels gereageerd met de volgende verklaring:

There have not been any breaches in any of Apple's systems including iCloud and Apple ID. The alleged list of email addresses and passwords appears to have been obtained from previously compromised third-party services.

Apple actively monitoring to prevent unauthorized access to user accounts and are working with law enforcement to identify the criminals involved. To protect against these type of attacks, we always recommend that users always use strong passwords, not use those same passwords across sites and turn on two-factor authentication.

Iemand met inzage in een gedeelte van de data in handen van de Turkish Crime Family zegt dat het overeenkomsten vertoont met het eerdere lek bij LinkedIn. Mogelijk zouden de hackers zich richten op mensen die dezelfde wachtwoorden gebruiken voor meerdere diensten. Als dat voor jou opgaat, dan is het aan te raden om op zijn minst je wachtwoord voor iCloud even te veranderen.

Update 2: ZDNet heeft van de hackers de gegevens van een aantal accounts die in hun bezit zijn gekregenheeft gekeken en Tekst of die inderdaad klopten. Een aantal van die accounts bleken niet meer actief, maar van 10 stuks bleek het wachtwoord wel degelijk te kloppen.

Als je het wachtwoord van jouw Apple ID nog niet hebt aangepast, dan herhalen we nog een keer dat we je dringend aanraden om dat zo spoedig mogelijk te doen.

Mwah... Turken kunnen nogal overdrijven, zo is de laatste tijd te merken.

Is het niet zo dat twee-traps verificatie nodig is voor het wijzigen van je gegevens, wachtwoorden enz. maar niet van toepassing is bij het simpelweg inloggen op icloud of me mailadressen?

(Bewerkt door wimmoes om 19:13, 22-03-2017)

wimmoes om 19:10, 22-03-2017
Is het niet zo dat twee-traps verificatie nodig is voor het wijzigen van je gegevens, wachtwoorden enz. maar niet van toepassing is bij het simpelweg inloggen op icloud of me mailadressen?

(Bewerkt door wimmoes om 19:13, 22-03-2017)

Klopt. 2FA doet niks in dit geval.

2FA heeft ook maar heel weinig met security te maken. Ik denk soms dat de security vragen bij Apple zo onnozel zijn om iedereen aan te zetten z'n telefoonnummer op te geven...

Overigens is Apple al eerder gewaarschuwd dat dit er zat aan te komen. Maar in plaats van het oude systeem te fixen hebben ze blijkbaar besloten niks te doen tot het nieuwe systeem klaar is. Alleen blijft dat maar duren.

Op momenten als deze ben ik blij geen icloud account te hebben. Gewoon een iOS device gebruiken leidt al tot het ongevraagd wijzigen van allerlei instellingen op de Mac...

wimmoes om 19:10, 22-03-2017
Is het niet zo dat twee-traps verificatie nodig is voor het wijzigen van je gegevens, wachtwoorden enz. maar niet van toepassing is bij het simpelweg inloggen op icloud of me mailadressen?

Twee-staps-verificatie is inderdaad niet van toepassing voor het inloggen van iCloud of .me mailadressen.

Maar twee-staps-verificatie is wèl van toepassing bij het inloggen op een iCloud-account, en bijvoorbeeld de mogelijkheid om op afstand devices te wijzigen.

Het advies om het te gebruiken staat er dan niet voor niets.

Er is een update bij dit nieuwsbericht gezet.

Robert om 7:11, 23-03-2017

Citaat

wimmoes om 19:10, 22-03-2017
Is het niet zo dat twee-traps verificatie nodig is voor het wijzigen van je gegevens, wachtwoorden enz. maar niet van toepassing is bij het simpelweg inloggen op icloud of me mailadressen?

Twee-staps-verificatie is inderdaad niet van toepassing voor het inloggen van iCloud of .me mailadressen.

Maar twee-staps-verificatie is wèl van toepassing bij het inloggen op een iCloud-account, en bijvoorbeeld de mogelijkheid om op afstand devices te wijzigen.

Het advies om het te gebruiken staat er dan niet voor niets.

Dat klopt, zolang je via de webinterface inlogt.

Maar er is een api voor en ik kan me nauwelijks voorstellen dat iemand die die kennis heeft, via een browser gaat zitten knoeien, als je via de api en wat code zo'n duizend keer sneller vooruit kan...  

@ cyrano: kan jij me vertellen hoe ze dat gaan doen, als iCloud helemaal niet gekraakt is?

Wie vraagt er nu iTunes kaarten als ze net bij dat bedrijf iets zijn gaan pikken. Natuurlijk dat de nummers van die iTunes kaarten zijn gelogd als ze er op in gaan. Apple kan dan via via te weten komen wie de daders zijn wanneer de kaarten gebruikt worden.

"Mogelijk zouden de hackers zich richten op mensen die dezelfde wachtwoorden gebruiken voor meerdere diensten."
Dat is niet echt hacken te noemen, dat is gewoon proberen met gekende combinaties van wachtwoorden en email adressen. Veel mensen gebruiken overal hetzelfde wachtwoord of code, slecht idee.

De fout ligt dan ook niet echt bij Apple, maar bij de gebruiker.
Alsof je bank verantwoordelijk is voor diefstal met je kaart als je als klant overal dezelfde 4-cijferige combinatie voor gebruikt.

De veiligheidsvragen van Apple zijn wel absoluut onveilig. Ofwel beantwoord je ze correct en weet je dat via social media en co. te achterhalen; Ofwel lieg je, maar moet je je leugen onthouden.

Het was stukken handiger geweest moest je zelf je vragen kunnen maken. Dan kies je vragen waar alleen jij het antwoord op weet.

2FA werkt nog niet goed genoeg, het moet deels automatisch gebeuren op basis van iets wat je hebt of doet zoals wat ze doen met de Apple watch, in combinatie met je wachtwoord.
een code op je GSM krijgen is te omslachtig.
een combinatie van ID (email adres, gebruikersnaam, loginnaam, ...) en twee zaken waarvan één manueel uit te voeren zoals een wachtwoord, code, vingerafdruk, gezichtsherkenning, stemherkenning, toetsencombinatie bij opstart, ... en een ander deel is automatisch zoals vertrouwd Wi-Fi station, vertrouwd bluetooth apparaat, Apple watch, SD-kaartje met sleutelbestand, ...
je kan zelf kiezen welke van de twee het moet zijn, bij twijfel of mogelijk beveiligingsprobleem heb je 3 zaken nodig.
Je kan ook een off-line 2FA instellen voor wanneer je enkel het apparaat hebt of ergens in een internetcafé inlogt op je account, dat kan dan eventueel een SMS zijn met een code.

Dan mag je nog iemand zijn email adres en wachtwoord hebben, zonder de 2de factor zoals het vertrouwde wi-fi station lukt het niet.

2FA moet er altijd zijn, maar zoals aangegeven moet de 2de factor eigenlijk iets automatisch zijn.

Er is een tweede update bij dit nieuwsbericht gezet.

Robert om 19:53, 23-03-2017
@ cyrano: kan jij me vertellen hoe ze dat gaan doen, als iCloud helemaal niet gekraakt is?

Ze hebben icloud daar helemaal niet voor nodig. Alleen ergens een medewerker van een Apple repair center oid met toegang tot de nieuwe repair servers. Via die servers worden iphones getest, van nieuwe firmware voorzien en ook geblokkeerd ingeval ze als gestolen gemeld worden. Dat is genoeg om hun dreigement uit te voeren, inclusief het wissen van de icloud account.

Ook Macs worden via dat systeem getest, maar daar is geen "robot" voor. Een Mac zonder netwerk wordt gewoon niet hersteld, een iphone of ipad kan hersteld worden via een interne bus, maar daar mogen geen mensenhanden meer aan te pas komen. Vandaar die gesloten "robot". Je legt er een iphone in, sluit de kap, geeft je persoonlijke pin in en het toestel doet de rest. Het syteem is zo geheim dat pas een week of twee geleden de eerste foto van zo'n "robot" gelekt is. Alleen de grotere Apple shops hebben er eentje. Ik ben alweer vergeten wie die foto publiceerde. 9to5mac?

Vziw heeft dat systeem zelfs geen 2FA.

Apple kan dat zeker stilleggen, maar dan kunnen ze zelf ook geen gestolen iphones meer blokkeren. En nog wat andere zaken, zoals het activeren van nieuwe iphones. Met andere woorden: complete chaos. Dat kost veel meer dan het zogezegde losgeld. Het is voor mij ook duidelijk dat degenen die hier achter zitten, niet uit zijn op geld...

Ik denk dat Apple al een tijd de menselijke factor aan het wegwerken is. Het "zwart" resetten van geblokkeerde iphones kostte recent 20-30€ en was bv. ook op ebay te koop. Het systeem is dus al misbruikt, maar niet in massa.

Vitruvius om 19:58, 23-03-2017
Wie vraagt er nu iTunes kaarten als ze net bij dat bedrijf iets zijn gaan pikken. Natuurlijk dat de nummers van die iTunes kaarten zijn gelogd als ze er op in gaan. Apple kan dan via via te weten komen wie de daders zijn wanneer de kaarten gebruikt worden.

Als ze al op geld uit zijn, zijn itunes cards niet eens een slecht idee. Apple kan zich niet permitteren die kaarten te loggen, want dan kunnen ze nog steeds hun dreigement uitvoeren.

"Mogelijk zouden de hackers zich richten op mensen die dezelfde wachtwoorden gebruiken voor meerdere diensten."
Dat is niet echt hacken te noemen, dat is gewoon proberen met gekende combinaties van wachtwoorden en email adressen. Veel mensen gebruiken overal hetzelfde wachtwoord of code, slecht idee.

De fout ligt dan ook niet echt bij Apple, maar bij de gebruiker.

Apple heeft een slecht paswoord beleid. Hoofdletters en leestekens verplicht, maar spaties verboden, bv.

Dat zou in orde moeten komen met de nieuwe centrale keyservers. Maar blijkbaar dienen die eerst en vooral voor Apple Pay...

Alsof je bank verantwoordelijk is voor diefstal met je kaart als je als klant overal dezelfde 4-cijferige combinatie voor gebruikt.

De veiligheidsvragen van Apple zijn wel absoluut onveilig. Ofwel beantwoord je ze correct en weet je dat via social media en co. te achterhalen; Ofwel lieg je, maar moet je je leugen onthouden.

Het was stukken handiger geweest moest je zelf je vragen kunnen maken. Dan kies je vragen waar alleen jij het antwoord op weet.

Klopt.

2FA werkt nog niet goed genoeg, het moet deels automatisch gebeuren op basis van iets wat je hebt of doet zoals wat ze doen met de Apple watch, in combinatie met je wachtwoord.
een code op je GSM krijgen is te omslachtig.
een combinatie van ID (email adres, gebruikersnaam, loginnaam, ...) en twee zaken waarvan één manueel uit te voeren zoals een wachtwoord, code, vingerafdruk, gezichtsherkenning, stemherkenning, toetsencombinatie bij opstart, ... en een ander deel is automatisch zoals vertrouwd Wi-Fi station, vertrouwd bluetooth apparaat, Apple watch, SD-kaartje met sleutelbestand, ...
je kan zelf kiezen welke van de twee het moet zijn, bij twijfel of mogelijk beveiligingsprobleem heb je 3 zaken nodig.
Je kan ook een off-line 2FA instellen voor wanneer je enkel het apparaat hebt of ergens in een internetcafé inlogt op je account, dat kan dan eventueel een SMS zijn met een code.

Dan mag je nog iemand zijn email adres en wachtwoord hebben, zonder de 2de factor zoals het vertrouwde wi-fi station lukt het niet.

2FA moet er altijd zijn, maar zoals aangegeven moet de 2de factor eigenlijk iets automatisch zijn.

2FA is niet meer dan een doekje voor het bloeden. Het is vooral makkelijk voor de gebruiker. En dat is goed. Maar het voegt geen technische veiligheid toe.

Dat is recent nog gebleken, toen een succesvol blogger z'n identiteit én bankrekening gekaapt werden. De kapers waren er in geslaagd de GSM nummer van het slachtoffer te kapen, juist omdat de GSM provider een gelijkaardig 2FA systeem had met security vragen. Eens ze z'n GSM nummer in gebruik hadden, bleek het natuurlijk een koud kunstje om z'n Apple ID en z'n bankkaart om te leiden. Gelukkig had hij een opmerkzame bank. Die hadden minder dan een uur nodig om hem verdachte transacties te melden. Hij moest daar wel voor naar het bankkantoor omdat hij niks meer had: geen email, geen telefoon, geen...

Het was ook duidelijk een waarschuwing. Ze hebben bv. enkele uren controle over z'n bankrekening gehad, maar niks gedaan. De vraag die hij zich nu stelt, is WIE die waarschuwing gaf...

Apple werkt aan DNA herkenning. Vingerafdruk + DNA zou ALTIJD uniek moeten zijn en een dode vinger of een plastic kopie werkt ook niet meer.

Gelukkig had hij een opmerkzame bank. Die hadden minder dan een uur nodig om hem verdachte transacties te melden. Hij moest daar wel voor naar het bankkantoor omdat hij niks meer had: geen email, geen telefoon, geen...

Is er een bankmedewerker bij hem aan de deur geweest om dat te vertellen?