De inlogpagina van iCloud.

Opinie: Waarom Apple miljoenen iCloud-accounts zou moeten resetten (maar dat waarschijnlijk niet doet)

Apple zou de wachtwoorden van slecht beveiligde iCloud-accounts moeten resetten, om in één klap van alle problemen met gelekte accountgegevens af te zijn.
Gonny van der Zwaag - · Laatst bijgewerkt:

Apple zit met een probleem: een hackersgroep beweert miljoenen inloggegevens van iCloud in handen te hebben en dreigt die accounts op 7 april te wissen. Apple kan het probleem op een simpele manier oplossen: door de wachtwoorden te resetten van slecht beveiligde accounts. Maar dat doen ze voorlopig niet.

Update 29 maart: Optie 2 lijkt binnen handbereik te komen. Eén van de betrokken hackers zou zijn opgepakt door de Britse National Crime Agency. Het gaat om een 20-jarige man die deel uitmaakt van de Turkish Crime Family. De politie verdenkt de man van chantage en hacken en heeft elektronica in beslag genomen.

Update 28 maart: Uit een analyse van 70.000 accounts blijkt dat veel data verouderd is. De data zou afkomstig zijn van een hack bij de browsergame Evony (2016) en hacks bij Last.fm en LinkedIn (2012). Dit wekt de indruk dat veel data onbruikbaar is en niet betrekking heeft op iCloud-accounts.

De inlogpagina van iCloud.

De hackersgroep met de naam Turkish Crime Family zou beschikken over tussen de 250 en 600 miljoen iCloud-gegevens, die ze in de loop der jaren stilletjes hebben verzameld. Sommige accounts dateren uit 2000, toen Apple nog .mac-mailadressen gebruikte. Die gegevens zijn wellicht afkomstig van phishing of gehackte databases van LinkedIn en Yahoo. Er zijn nu eenmaal mensen die hetzelfde wachtwoord gebruiken voor meerdere diensten. Om te ‘bewijzen’ dat ze niet zitten te bluffen gaven de hackers een lijst met inloggegevens van 54 Britse accounts aan ZDNet. Zij konden van 10 accounts vaststellen dat het wachtwoord klopt.

Apple kan nu drie dingen doen:

  1. Het losgeld van $150.000 in Bitcoin betalen.
  2. Niets doen. Misschien zitten de hackers te bluffen en gaat het maar om een beperkt aantal accounts, waardoor de schade meevalt. Ook kunnen ze hopen dat de hackers voor 7 april in de kraag worden gevat.
  3. Alle iCloud-accounts resetten die geen tweestaps- of tweefactorauthenticatie hebben ingeschakeld.

Optie 1: betalen
Optie 1 is de makkelijkste en goedkoopste oplossing voor Apple, maar daarmee geven ze wel toe aan chantage. Er zullen vlak daarna nieuwe hackersgroepen op de stoep staan die óók even snel geld willen halen. Bovendien zou Apple daarmee toegeven dat er een probleem is met de accounts.

Optie 2: niets doen
Optie 2 brengt risico’s met zich mee. Zelfs als de iCloud-accounts van maar een paar duizend mensen worden gewist zit Apple met een gigantisch probleem. Op straat zal het gesprek zijn dat je gegevens bij Apple niet veilig zijn, ook al ligt de oorzaak eigenlijk bij de gebruikers zelf. De slachtoffers zijn voornamelijk slecht-geïnformeerde mensen die wachtwoorden maar ‘gedoe’ vinden en niet willen weten hoe ze hun account beter kunnen beschermen. De pech voor Apple is dat deze groep gebruikers ook het makkelijkst te beïnvloeden is als ze kort-door-de-bocht-verhalen in de voetbalkantine of de sigarenzaak horen.

Voorlopig lijkt Apple voor optie 2 te kiezen en dat werkt tot nu toe goed. Vooral tech-nieuwssites erover geschreven, waardoor het grotendeels ongemerkt aan het gewone publiek voorbijgaat.

Optie 3: wachtwoorden resetten
Optie 3 is wat ons betreft de meest logische, want daarmee lost Apple in één klap het huidige probleem op. Het is niet nodig om alle Apple ID’s te resetten, maar alleen de accounts van mensen die slordig met hun privacy omgaan. Het gaat dan om mensen die aan de volgende drie voorwaarden voldoen. waarvan Apple de eerste twee kan controleren:

  • Geen tweestaps- of tweefactorauthenticatie hebben ingesteld.
  • En bovendien: al jarenlang hetzelfde wachtwoord gebruiken.
  • En die ook: wachtwoorden hergebruiken voor meerdere diensten.

Apple kan weliswaar niet in je iCloud-account kijken, maar ze kunnen ongetwijfeld natrekken welke accounts nog geen tweestaps/tweefactor hebben ingeschakeld en wanneer het wachtwoord voor de laatste keer is gewijzigd. Alleen hergebruik kan Apple niet nagaan.

Bij alle slecht beveiligde accounts die aan de eerste twee voorwaarden voldoen moet Apple het wachtwoord resetten. Wat je overigens vaak ziet is dat bedrijven ervoor kiezen om dan meteen maar door het stof te gaan en álle accounts te resetten, zoals bij LinkedIn gebeurde. Maar dat hoeft eigenlijk niet.

Miljoenen wachtwoorden resetten

Als buitenstaanders kunnen we moeilijk inschatten om hoeveel accounts het gaat, maar het zal waarschijnlijk om miljoenen mensen gaan, die Apple moet confronteren met het vervelende nieuws dat ze wachtwoord opnieuw moeten instellen. Die mensen zullen de oorzaak niet bij zichzelf zoeken, maar ze zullen eerder denken dat Apple de beveiliging niet goed voor elkaar heeft. TNW vroeg zich af waarom Apple niet kiest voor automatisch resetten (zonder daar eeen duidelijk antwoord op te geven), terwijl eigenlijk wel voor de hand ligt. Wachtwoorden resetten levert voor Apple behoorlijk wat imagoschade op, want het ongeïnformeerde publiek zal denken dat iCloud gehackt is. Als je in de techwereld zit lijkt iedereen verstand van computers te hebben en apps zoals 1Password te gebruiken, maar de wereld daarbuiten is nog veel groter.

Het is even door de zure appel heen bijten, maar daarmee heeft Apple het probleem wel weer voor een behoorlijke tijd opgelost. Totdat er weer een groot beveiligingslek bij Yahoo opduikt…

Revisiegeschiedenis:

  • 2017 - 29 maart: Informatie over opgepakte man toegevoegd.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 30 maart 2017, 10:17
Categorie Achtergrond
Onderwerpen beveiliging, icloud

Reacties zijn gesloten voor dit artikel.