Technik-Journalist Mat Honan gehackt: Twitter gekapert, Festplatten gelöscht
Netzfirmen möchten, dass ihre Kunden immer mehr Daten in die Cloud verschieben. Der Hack des Technikjournalisten Mat Honan zeigt, wie unsicher die Dienste sein können.
Er ist einer, der nicht als das leichteste Opfer für Hacker gelten sollte: Mat Honan ist Reporter beim Gadgetmagazin Gizmodo, arbeitete früher für das Wired-Magazin. Honan ist keineswegs ein Anfänger, was Computer und Internet angeht. Doch Hackern fiel es leicht, sein komplettes digitales Leben zu übernehmen. Alles, was sie brauchten: ein paar Ideen, einen Computer mit Internetzugang und ein Telefon – und jede Menge Sicherheitslücken bei Onlinediensten.
Die schöne neue Onlinewelt ist überaus praktisch für den faulen Nutzer von heutzutage: Man kann alles im Netz speichern, spiegeln, aus dem Netz heraus kontrollieren. Zumindest, solange man selbst die Kontrolle hat. Mat Honan glaubte sich sicher. Er hatte seinen Rechner, sein Telefon, sein iPad und seine Nutzerkonten bei verschiedenen Internetdiensten, allen voran bei Apple, Amazon, Google und Twitter.
Doch mit einem Schlag änderte sich das: nicht mehr er, sondern unidentifizierte Hacker waren plötzlich im Besitz seiner Nutzerkonten, konnten über diese nicht nur auf seine Daten zugreifen, sondern sogar die Daten auf seinem Computer, seinem iPhone und seinem iPad löschen. Honan hatte auf die Dienstbetreiber und deren Sicherheitsmechanismen vertraut. Minutengenau beschreibt Honan auf Wired, wie seine Konten übernommen und seine Geräte wie von Zauberhand geleert wurden – und das alles ohne sein aktives Zutun.
Alles, was die Hacker machen mussten: sie nutzten, was man Social Engineering nennt. Statt nur auf Computer zu vertrauen, nutzten sie das gute alte Telefon und die Supporthotlines verschiedener Anbieter, um sich temporäre Passwörter geben zu lassen. Alles, was sie brauchten, um sich dort als er ausgeben zu können, waren Daten, die bei jeweils anderen Anbietern für sie zugänglich waren. Binnen drei Stunden war sein gesamtes digitales Leben in der Hand von anderen.
Honan hatte nicht alles richtig gemacht, wie er auch selbst eingesteht. Aber mit wenigen, leicht zugänglichen Informationen wie der Rechnungsanschrift und den letzten vier Stellen der Kreditkarte, konnten sich andere als er ausgeben – und sich temporäre Passworte zum Beispiel für seinen Apple-Emailkonto geben lassen. Von dort aus hangelten sie sich weiter durch sein digitales Leben – um schlussendlich zu ihrem eigentlichen Ziel zu gelangen. Alles, was sie im Sinn hatten, war Honans Twitterkonto zu übernehmen. Nicht weil es Honan gehörte, sondern weil es ein begehrtes Konten mit drei Buchstaben war.
Die Vertrauenskette in der Cloud
Das Kernproblem, das der Honan-Hack beschreibt: Sicherheit in der Cloud wird häufig über eine Art Vertrauenskette hergestellt. E-Mailadressen, Telefonnummern, Geburtsdaten und Konto- oder Kreditkartennummern sind wesentlicher Teil dieser Konzepte. Wer sie kennt, muss oft nur eine einzige Schwachstelle finden. Und kann sich dann von diesem Startpunkt aus im digitalen Leben eines anderen ausleben.
Wer dazu noch die Kontrolle über die eigenen Gerätschaften – in Honans Fall der Apple-Dienst „Find My“, mit dem verlorene oder gestohlene Geräte per Fernwartung lokalisiert und sogar gelöscht werden können – in die Cloud verlagert, riskiert nicht nur, dass seine digitale Identität übernommen oder auf seine Kosten eingekauft wird. Er riskiert, dass er die digitalen Schaltstellen seines Lebens aus der Hand gibt und Daten verliert.
Dass die Diensteanbieter im Sinne der Kundenfaulheit in Honans Fall den Hackern auch noch behilflich waren, zeigt, dass Cloudlösungen und ihre Anbieter derzeit noch einige Schwachstellen aufweisen. Aber wer wollte denn nicht schon immer mal ein komplett neues Leben anfangen?
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Pelicot-Prozess und Rape Culture
Der Vergewaltiger sind wir
++ Nachrichten zum Umsturz in Syrien ++
Baerbock warnt „Assads Folterknechte“
Mord an UnitedHealthcare-CEO
Gewalt erzeugt Gewalt
Trendvokabel 2024
Gelebte Demutkratie
100 Jahre Verkehrsampeln
Wider das gängelnde Rot
Rechtsextreme Demo in Friedrichshain
Antifa, da geht noch was