Opinie: Waarom Apple miljoenen iCloud-accounts zou moeten resetten (maar dat waarschijnlijk niet doet)
Apple zit met een probleem: een hackersgroep beweert miljoenen inloggegevens van iCloud in handen te hebben en dreigt die accounts op 7 april te wissen. Apple kan het probleem op een simpele manier oplossen: door de wachtwoorden te resetten van slecht beveiligde accounts. Maar dat doen ze voorlopig niet.
Update 29 maart: Optie 2 lijkt binnen handbereik te komen. Eén van de betrokken hackers zou zijn opgepakt door de Britse National Crime Agency. Het gaat om een 20-jarige man die deel uitmaakt van de Turkish Crime Family. De politie verdenkt de man van chantage en hacken en heeft elektronica in beslag genomen.
Update 28 maart: Uit een analyse van 70.000 accounts blijkt dat veel data verouderd is. De data zou afkomstig zijn van een hack bij de browsergame Evony (2016) en hacks bij Last.fm en LinkedIn (2012). Dit wekt de indruk dat veel data onbruikbaar is en niet betrekking heeft op iCloud-accounts.
De hackersgroep met de naam Turkish Crime Family zou beschikken over tussen de 250 en 600 miljoen iCloud-gegevens, die ze in de loop der jaren stilletjes hebben verzameld. Sommige accounts dateren uit 2000, toen Apple nog .mac-mailadressen gebruikte. Die gegevens zijn wellicht afkomstig van phishing of gehackte databases van LinkedIn en Yahoo. Er zijn nu eenmaal mensen die hetzelfde wachtwoord gebruiken voor meerdere diensten. Om te ‘bewijzen’ dat ze niet zitten te bluffen gaven de hackers een lijst met inloggegevens van 54 Britse accounts aan ZDNet. Zij konden van 10 accounts vaststellen dat het wachtwoord klopt.
Apple ontkent hack van 600 miljoen accounts
Apple kan nu drie dingen doen:
- Het losgeld van $150.000 in Bitcoin betalen.
- Niets doen. Misschien zitten de hackers te bluffen en gaat het maar om een beperkt aantal accounts, waardoor de schade meevalt. Ook kunnen ze hopen dat de hackers voor 7 april in de kraag worden gevat.
- Alle iCloud-accounts resetten die geen tweestaps- of tweefactorauthenticatie hebben ingeschakeld.
Optie 1: betalen
Optie 1 is de makkelijkste en goedkoopste oplossing voor Apple, maar daarmee geven ze wel toe aan chantage. Er zullen vlak daarna nieuwe hackersgroepen op de stoep staan die óók even snel geld willen halen. Bovendien zou Apple daarmee toegeven dat er een probleem is met de accounts.
Optie 2: niets doen
Optie 2 brengt risico’s met zich mee. Zelfs als de iCloud-accounts van maar een paar duizend mensen worden gewist zit Apple met een gigantisch probleem. Op straat zal het gesprek zijn dat je gegevens bij Apple niet veilig zijn, ook al ligt de oorzaak eigenlijk bij de gebruikers zelf. De slachtoffers zijn voornamelijk slecht-geïnformeerde mensen die wachtwoorden maar ‘gedoe’ vinden en niet willen weten hoe ze hun account beter kunnen beschermen. De pech voor Apple is dat deze groep gebruikers ook het makkelijkst te beïnvloeden is als ze kort-door-de-bocht-verhalen in de voetbalkantine of de sigarenzaak horen.
Voorlopig lijkt Apple voor optie 2 te kiezen en dat werkt tot nu toe goed. Vooral tech-nieuwssites erover geschreven, waardoor het grotendeels ongemerkt aan het gewone publiek voorbijgaat.
Optie 3: wachtwoorden resetten
Optie 3 is wat ons betreft de meest logische, want daarmee lost Apple in één klap het huidige probleem op. Het is niet nodig om alle Apple ID’s te resetten, maar alleen de accounts van mensen die slordig met hun privacy omgaan. Het gaat dan om mensen die aan de volgende drie voorwaarden voldoen. waarvan Apple de eerste twee kan controleren:
- Geen tweestaps- of tweefactorauthenticatie hebben ingesteld.
- En bovendien: al jarenlang hetzelfde wachtwoord gebruiken.
- En die ook: wachtwoorden hergebruiken voor meerdere diensten.
Apple kan weliswaar niet in je iCloud-account kijken, maar ze kunnen ongetwijfeld natrekken welke accounts nog geen tweestaps/tweefactor hebben ingeschakeld en wanneer het wachtwoord voor de laatste keer is gewijzigd. Alleen hergebruik kan Apple niet nagaan.
Bij alle slecht beveiligde accounts die aan de eerste twee voorwaarden voldoen moet Apple het wachtwoord resetten. Wat je overigens vaak ziet is dat bedrijven ervoor kiezen om dan meteen maar door het stof te gaan en álle accounts te resetten, zoals bij LinkedIn gebeurde. Maar dat hoeft eigenlijk niet.
Miljoenen wachtwoorden resetten
Als buitenstaanders kunnen we moeilijk inschatten om hoeveel accounts het gaat, maar het zal waarschijnlijk om miljoenen mensen gaan, die Apple moet confronteren met het vervelende nieuws dat ze wachtwoord opnieuw moeten instellen. Die mensen zullen de oorzaak niet bij zichzelf zoeken, maar ze zullen eerder denken dat Apple de beveiliging niet goed voor elkaar heeft. TNW vroeg zich af waarom Apple niet kiest voor automatisch resetten (zonder daar eeen duidelijk antwoord op te geven), terwijl eigenlijk wel voor de hand ligt. Wachtwoorden resetten levert voor Apple behoorlijk wat imagoschade op, want het ongeïnformeerde publiek zal denken dat iCloud gehackt is. Als je in de techwereld zit lijkt iedereen verstand van computers te hebben en apps zoals 1Password te gebruiken, maar de wereld daarbuiten is nog veel groter.
Het is even door de zure appel heen bijten, maar daarmee heeft Apple het probleem wel weer voor een behoorlijke tijd opgelost. Totdat er weer een groot beveiligingslek bij Yahoo opduikt…
- 2017 - 29 maart: Informatie over opgepakte man toegevoegd.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Made in India: één op de zeven iPhones wordt nu gemaakt in India (11-04)
- Onderzoek: 'Driekwart Nederlandse weggebruikers zit met mobiel achter het stuur' (02-04)
- Apple: 'Ons AI-model presteert beter dan GPT-4' (02-04)
- Canva neemt Affinity-software over en wil daarmee Adobe verslaan (26-03)
- EU start onderzoek naar Apple en meer over naleven nieuwe DMA-regelgeving (25-03)
iCloud
Alles over iCloud, de online opslagdienst van Apple waarmee je apps kunt synchroniseren en bestanden kunt opslaan. Maar iCloud biedt meer dan alleen online opslag en synchronisatie. Met de betaalde iCloud+ dienst krijg je extra functies, zoals het verbergen van je e-mailadres en privédoorgifte. Je kunt 5GB tot 12TB iCloud-opslag krijgen. Al onze belangrijke informatie over iCloud op een rijtje!
- Alles over iCloud
- iCloud+, de betaalde versie van iCloud met extra functies
- Alles over iCloud Drive
- Storing bij iCloud? Zo vraag je de status op
- Documenten synchroniseren in iCloud
- iCloud Fotobibliotheek gebruiken
- iCloud Muziekbibliotheek gebruiken
- Beveiliging van iCloud-gegevens
- iCloud-opslagruimte delen met gezin
- iCloud-account beheren
- iPhone en iPad backuppen op iCloud
- iCloud-sleutelhanger voor opslaan van wachtwoorden
- Gezinswachtwoorden in iCloud-sleutelhanger
- Privédoorgifte in iCloud: veiliger browsen
- iCloud-opslag uitbreiden (prijzen en meer)
Ook interessant
Hoe goed zijn jouw gegevens in iCloud beveiligd?
Tweefactorauthenticatie voor Apple ID en iCloud: zo werkt het op iOS en macOS [video]
Zo beheer je je Apple ID, iCloud-account en meer op je iPhone en iPad
Apple dicht lek in iCloud voor ernstige Log4Shell-kwetsbaarheid
Zo stel je app-specifieke wachtwoorden voor iCloud in
Tweestapsverificatie instellen voor iCloud, iTunes en Apple ID
Reacties: 30 reacties