Hackers kapen Australische iPhones, iPads en Macs

Door: Raymon Mens - 28 reacties

Enkele Australische Apple-gebruikers hebben last van een vreemd fenomeen, hun Apple-apparaten worden op afstand vergrendeld en in lost modus gezet. Iets dat gebruikers normaal alleen zelf kunnen doen via iCloud, als hun apparaat bijvoorbeeld gestolen is.

Het gaat om iPhones, iPads, MacBooks en Macs die met iCloud verbonden zijn. Nadat de apparaten vergrendeld zijn, verschijnt de melding “Device hacked by Oleg Pliss” en het mailadres elplock@gmx.com. Om hun apparaat weer te kunnen gebruiken moet geld via PayPal betaald worden.

In de Apple Support Forums omschrijven slachtoffers dat ze voordat de telefoon vergrendeld werd, een e-mail ontvingen van iCloud met de melding dat lost modus succesvol geactiveerd is. Dit wijst erop dat er gebruik gemaakt wordt van gehackte iCloud-accounts. Oleg Pliss is een bekende beveiligingsonderzoeker met een goede reputatie, het is onwaarschijnlijk dat hij achter de hack zit. Waarschijnlijk wordt zijn naam misbruikt.

De bewuste melding op een Mac.
De bewuste melding op een Mac.

Gebruikers die een toegangscode op hun Apple-apparaat ingesteld hebben, kunnen de gijzeling van hun apparaat opheffen door de juiste toegangscode in te voeren en zo de iCloud-vergrendeling opheffen. Apparaten zonder password dienen via iTunes naar fabrieksinstellingen gezet te worden, daarbij gaat wel alle data verloren.

Apple is inmiddels op de hoogte van het fenomeen en diverse gebruikers geven aan in de Apple Store goed geholpen te zijn. De vraag die rest is wat deze vreemde scam mogelijk maakt. Er wordt gedacht aan een Australische webshop/website die gehacked zou zijn, kwaadwillenden zouden de wachtwoorden die daar gebruikt werden ook op iCloud kunnen proberen en zo slachtoffers maken.

Een offici√ęle reactie van Apple laat nog op zich wachten.

Reacties

28 reacties
  • Profielfoto
    ro_me

    Goed zo Apple, gaat prima daar met die beveiliging! Ben benieuwd wat hier weer fout gegaan is!

  • Profielfoto
    Imade

    Hopelijk is het enkel gestolen iCloud accounts de oorzaak… en hopelijk komt Apple dan snel met een reactie over hoe je dan het beste kan handelen.

  • Profielfoto
    Rickje

    Goed zo Apple, gaat prima daar met die beveiliging! Ben benieuwd wat hier weer fout gegaan is!

    Man man man, ga toch ergens anders lopen miepen zeg!

    Even helder nadenken is blijkbaar te moeilijk he? Ik leg ‘m even voor je uit:
    1) Webshop gehacked
    2) Buitgemaakte wachtwoord van webshop werkt óók met het Apple ID.

    Conclusie? Mensen die zelfde wachtwoord 2x gebruiken.

    Volledig Apples fout… uiteraard.
    Sukkel (of troll).

  • Profielfoto
    Imade

    Dat de beveiliging van Apple zo zwak is… is wel Apples fout Rickje.

  • Profielfoto
    mvmaastricht

    Begríjp je Rickjes reactie wel, Imade?

  • Profielfoto
    Domtoren

    Dat de beveiliging van Apple zo zwak is… is wel Apples fout Rickje.

    We weten niet hoe deze hack uitgevoerd wordt, daarover is alleen speculatie. Stel het zwartepieten dus even uit tot we wél weten wat er precies gebeurt.

  • Profielfoto
    Imade

    Begríjp je Rickjes reactie wel, Imade?

    Als je net als Google een smsjes met code vraagt als je als onbekend apparaat inlogt…. dan kan je veel hacks voorkomen.
    Apple is een duur product, maar de beveiliging is niet sterk te noemen.
    Vooral omdat je apparaten van afstand kan wissen/locken etc.

  • Profielfoto
    Rickje

    Dat de beveiliging van Apple zo zwak is… is wel Apples fout Rickje.

    Ja, laten we 10 staps verificatie toevoegen.

  • Profielfoto
    Marius1976

    Het zou op zich geen overbodige luxe zijn als je via find my iphone/mac/wat-dan-ook nog een extra (ander) wachtwoord zou moeten gebruiken.

    @Rickje

    Je eerste reactie op ro_me was m.i. erg goed, maar met die sarcastische opmerking over 10 staps verificatie draaf je wat door. Een extra controle inbouwen kan nooit kwaad.

    @All

    Elke beveiliging kan in principe gekraakt worden; als een of andere wacko hier mijn huis komt binnenstormen en een gun op m’n hoofd richt, dan werk ik waarschijnlijk snel mee met het verstrekken van wachtwoorden.

    Maar als ik deze -gelukkig nog relatief zeldzame- methode buiten beschouwing laat, denk ik dat de beveiliging van apple doorgaans bovengemiddeld is. Veel mensen gaan slordig om met hun beveiligingsgegevens en dat is toch altijd nog de zwakste schakel.

  • Profielfoto
    Zakske

    Als je net als Google een smsjes met code vraagt als je als onbekend apparaat inlogt…. dan kan je veel hacks voorkomen.

    Klopt, Apple is redelijk amateuristisch als het op beveiliging aankomt. De two-step verification van iCloud beschermt je enkel tegen frauduleuze aankopen met je Apple ID.

    In its current implementation, Apple’s two-factor authentication does not prevent anyone from restoring an iOS backup onto a new (not trusted) device. In addition, and this is much more of an issue, Apple’s implementation does not apply to iCloud backups, allowing anyone and everyone knowing the user’s Apple ID and password to download and access information stored in the iCloud. This is easy to verify; simply log in to your iCloud account, and you’ll have full information to everything stored there without being requested any additional logon information.

    In ElcomSoft’s opinion, this is just not the right way to do this from a security point of view. iCloud has been exploited in the past and will be exploited in the future.

    Dit was de conclusie van ElcomSoft exact een jaar geleden, en ze hadden gelijk.

  • Profielfoto
    macoky

    Als mensen zelf nou de moeite doen om iets beter te beveiligen was de schade minder groot lees ik: toegangscode = geen gegevens kwijt.

  • Profielfoto
    Imade

    Als mensen zelf nou de moeite doen om iets beter te beveiligen was de schade minder groot lees ik: toegangscode = geen gegevens kwijt.

    Ook Apple treft hier blaam qua amateurisme.
    Bij diensten als Facebook/Goolge kan je inloggen via sms code als je ‘onbekend’ bent en dat kan zelfs bij DigiD.
    Dan ben je echt een gigantische NUL als jij als miljarden bedrijf dat niet invoert.

  • Profielfoto
    vinkofunk

    Apple is een duur product, maar de beveiliging is niet sterk te noemen.

    1. Apple is geen product, maar een bedrijfsnaam. Als je de bedrijfsnaam wilt kopen, zal je daar idd veel geld voor moeten betalen, maar of het dan duur is, blijft de vraag.

    2. Producten van Apple zijn niet per se duur, als ze het waard zijn. Ze kosten wel wat, maar als je je niet kunt veroorloven een apparaat van Apple te verliezen, dan moet je het ook niet kopen.

    3. De beveiliging hoeft ook niet sterk te zijn, het blijft toch maar jouw telefoontje. Het is ruim voldoende.

  • Profielfoto
    Nosferatu

    3. De beveiliging hoeft ook niet sterk te zijn, het blijft toch maar jouw telefoontje. Het is ruim voldoende.

    Slaap sukkeltje slaap

  • Profielfoto
    Imade

    Apple is een duur product, maar de beveiliging is niet sterk te noemen.

    1. Apple is geen product, maar een bedrijfsnaam. Als je de bedrijfsnaam wilt kopen, zal je daar idd veel geld voor moeten betalen, maar of het dan duur is, blijft de vraag.

    2. Producten van Apple zijn niet per se duur, als ze het waard zijn. Ze kosten wel wat, maar als je je niet kunt veroorloven een apparaat van Apple te verliezen, dan moet je het ook niet kopen.

    3. De beveiliging hoeft ook niet sterk te zijn, het blijft toch maar jouw telefoontje. Het is ruim voldoende.

    Maar wel telefoontje waar vaak veel belangrijke dingen instaan zoals smsjes/fotos etc.
    Als apple 2-stap-factor wereldwijd lanceert maakt dat apple een veel veiligere systeem om mee te werken.

  • Profielfoto
    Tony smeT

    “Als je net als Google een smsjes met code vraagt als je als onbekend apparaat inlogt‚Ķ. dan kan je veel hacks voorkomen.”

    Ja, als je iPhone op vakantie gestolen is en je wil die via iCloud blokkeren dan wil je inderdaad eerst een sms’je ontvangen omdat je op een ‘vreemde’ computer inlogt…

  • Profielfoto
    Ruwepit

    Ook Apple treft hier blaam qua amateurisme.
    Bij diensten als Facebook/Goolge kan je inloggen via sms code als je \’onbekend\’ bent en dat kan zelfs bij DigiD.
    Dan ben je echt een gigantische NUL als jij als miljarden bedrijf dat niet invoert.

    Ook hier is huistroll iMade weer als de kippen bij en loopt weer helemaal leeg.

    Laten we eerst maar eens afwachten wat er mis gaat voordat onze huistroll weer om straffen gaat vragen zoals gewoonlijk.

  • Profielfoto
    ro_me

    Goed zo Apple, gaat prima daar met die beveiliging! Ben benieuwd wat hier weer fout gegaan is!

    Man man man, ga toch ergen……blablablabla..bla…bla…ik klets maar wat uit mijn nek en ga dan ook nog eens lelijk liggen schelden…..Volledig Apples fout… uiteraard.
    Sukkel (of troll).

    Kijk, hier zijn ze weer! De Apple kan nooit iets fout doen Apple faboys!

  • Profielfoto
    ro_me

    Ook Apple treft hier blaam qua amateurisme.
    Bij diensten als Facebook/Goolge kan je inloggen via sms code als je \\\’onbekend\\\’ bent en dat kan zelfs bij DigiD.
    Dan ben je echt een gigantische NUL als jij als miljarden bedrijf dat niet invoert.

    Ook hier is huistroll iMade weer als de kippen bij en loopt weer helemaal leeg.

    Laten we eerst maar eens afwachten wat er mis gaat voordat onze huistroll weer om straffen gaat vragen zoals gewoonlijk.

    Draai het maar eens om! Waarom is iedereen er meteen zo van overtuigd dat er geen fout is begaan door Appel? Als iedereen bij voorbaat al gaat roepen dat het de schuld van de gebruiker is (zie de reactie van Ricky hierboven) hoeft Apple nooit iets te doen. Ben vooral critisch naar het bedrijf waar je veel geld aan uit geeft. En laten we eerlijk zijn, was dit bij google gebeurt dan had iedereen hier klaar gestaan met commentaar.

  • Profielfoto
    MelvinCornelissen

    Laten we eerst de exploit eens afwachten voordat we iemand schuldig claimen.

    Iets met hoge bomen en veel wind.

  • Profielfoto
    hokkie

    Dat de beveiliging van Apple zo zwak is… is wel Apples fout Rickje.

    Wrong! Als ik mijn portier open laat staan, maakt BMW nog geen slechte sloten.

    “user error”

  • Profielfoto
    Ruwepit

    Draai het maar eens om! Waarom is iedereen er meteen zo van overtuigd dat er geen fout is begaan door Appel? Als iedereen bij voorbaat al gaat roepen dat het de schuld van de gebruiker is (zie de reactie van Ricky hierboven) hoeft Apple nooit iets te doen. Ben vooral critisch naar het bedrijf waar je veel geld aan uit geeft. En laten we eerlijk zijn, was dit bij google gebeurt dan had iedereen hier klaar gestaan met commentaar.

    Ik ben helemaal niet overtuigd dat er geen fout gemaakt zou zijn alleen er is nog helemaal niks bekend.
    Mijn punt is dat huistroll iMade bij het minste of geringste al aan het beschuldigen is, wel gelijk overtuigd is dat er een fout begaan is door Apple en om straffen/boets voor Apple aan het vragen is. Dat is er toch werkelijk waar echt iets mis met je verstandelijk vermogen.

    Zoals al eerder benoemd: laten we maar eerst eens afwachten voordat we helemaal leeglopen.

  • Profielfoto
    Imade

    Draai het maar eens om! Waarom is iedereen er meteen zo van overtuigd dat er geen fout is begaan door Appel? Als iedereen bij voorbaat al gaat roepen dat het de schuld van de gebruiker is (zie de reactie van Ricky hierboven) hoeft Apple nooit iets te doen. Ben vooral critisch naar het bedrijf waar je veel geld aan uit geeft. En laten we eerlijk zijn, was dit bij google gebeurt dan had iedereen hier klaar gestaan met commentaar.

    Ik ben helemaal niet overtuigd dat er geen fout gemaakt zou zijn alleen er is nog helemaal niks bekend.
    Mijn punt is dat huistroll iMade bij het minste of geringste al aan het beschuldigen is, wel gelijk overtuigd is dat er een fout begaan is door Apple en om straffen/boets voor Apple aan het vragen is. Dat is er toch werkelijk waar echt iets mis met je verstandelijk vermogen.
    Laten wij niet vergeten dat heel OMT Google/Microsoft etc. hadden afgebrand als deze fout/gebeurtenis bij hun gebruikers was gekomen.
    Maar.. nu het Apple is moet Apple nog steeds worden beschermd… zelfs als de veiligheid nog slechter is dan Google.
    Zoals al eerder benoemd: laten we maar eerst eens afwachten voordat we helemaal leeglopen.

    Ik zeg niet dat Apple 100% fout, maar wel op veiligheid beleid.
    Je kan alles doen met een icloud account… zelfs wissen van je HDD aan toe.
    Dan mag je wel wat meer proffesionaliteit verwachten.
    Ik ben eenmaal critisch als de pest en brand bedrijven die veiligheid slecht behandelen graag af ja.
    Je kan via 2-stap-factor echt heel veel hacks voorkomen.

  • Profielfoto
    staaf

    En weer een topic waarbij ik voel ik dat er inmiddels heel veel vervelende mensen op dit forum zitten.
    Mensen die te pas en te onpas beginnen te schreeuwen, los van het feit of ze misschien wel gelijk hebben.
    Vroeger dacht ik dat dit een plek was waar je geholpen kon worden als je iets niet begreep.
    Tegenwoordig wordt je hier vaak aan de schandpaal genageld als je een zog ‘domme’ vraag stelt of een afwijkende mening verkondigt.
    De zog verruwing van de samenleving heeft hier zeker plaatsgevonden.
    Jammer hoor.

  • Profielfoto
    Marius1976

    100% eens met staaf

  • Profielfoto
    ro_me

    @Ruwepit
    De reacties zoals hierboven (Ricky) kun je van het zelfde betichten!
    En je hebt gelijk dat de schuldvraag nog niet beantwoord is. Wie er fout in deze is valt dus nog te bezien.

  • Profielfoto
    hendrik ijzerbroot

    Goed zo Apple, gaat prima daar met die beveiliging! Ben benieuwd wat hier weer fout gegaan is!

    Ik zit net het nos bericht hierover te lezen, en daarin staat dat men eerst mogelijk andere accounts heeft gehackt (accounts die dus niets met Apple hebben te maken) en omdat veel mensen op meerdere accounts het zelfde wachtwoord etc. gebruiken werken die dus ook bij iCloud.

    M.a.w: je hebt ook zelf een verantwoordelijkheid door een goed en vari√ęrend wachtwoord te gebruiken.

  • Profielfoto
    hendrik ijzerbroot

    Dat de beveiliging van Apple zo zwak is… is wel Apples fout Rickje.

    Het is nog helemaal niet zeker dat dit door slechte beveiliging komt van Apple zijn kant. Ook een gekozen wachtwoord weegt zwaar want er zijn mensen die b.v. “ABCD1234” als wachtwoord hebben om makkelijk te kunnen onthouden. Maar het is een zwak wachtwoord.

    Als dit een ING forum was (hebben ze dat?) dan had je duizenden posten in honderden topics want ook die bank wordt regelmatig gehackt of heeft een ‘storing’ waarbij men dan haast nooit gelijk de oorzaak weet of durft te vermelden. Dus zeg niet te snel dat de beveiliging van Apple slecht is, want banken kunnen er ook wat van en juist die zouden de best mogelijke beveiliging moeten hebben.