Sonstiges

Ausgerechnet am Nationalfeiertag: Hacker nehmen YouTube und iTunes-Konten ins Visier

Manchmal scheint es so, als würden Hacker und Spammer bevorzugt das Wochenende nutzen, um ihr Unwesen zu treiben. Aus eigener Erfahrung bei Basic Thinking weiß ich, dass montags ein Großteil meiner morgendlichen Arbeit darauf entfällt, Spam-Mails aus meinen Postfach und -Kommentare vom Blog zu fegen. Ob im nachfolgenden Fall auch das Wochenende schuld war oder aber der größte US-amerikanische Feiertag – „Independence Day -, weiß ich nicht genau. Fest steht nur, dass gestern Meldungen sowohl über einen Hack bei YouTube als auch von iTunes-Konten die Runde machten.

Das Problem auf der Video-Plattform scheint von Google aber mittlerweile behoben zu sein. Zuvor war es Hackern – offenbar aktiven Mitgliedern der berühmt-berüchtigten Website 4chan (siehe Screenshot) – gelungen, über ein Cross-Site-Scripting die Kommentarfunktion auf YouTube für ihre Zwecke zu missbrauchen. Zunächst wurde dabei die Möglichkeit unterbunden, neue Kommentare unter einem Video zu posten. Dann erschien dort ein Text, der später gescrollt wurde und schließlich als einziger noch zu sehen war, während der Rest der Seite schwarz war. Nachdem sich die Nachricht über die Sicherheitslücke im Internet verbreitet hatte, nutzten andere Hacker sie zudem noch für Pop Ups oder für Umleitungen auf andere Seiten aus. In wenigen Fällen wurden zudem die Original-Videos durch Schock-Videos ersetzt.

Aufgrund des Wochenendes beziehungsweise Feiertages dauerte es eine Weile – eine Stunde, um die Kommentarfunktion außer Betrieb zu setzen und zwei Stunden, um die XSS-Lücke zu schließen – bis Google das Problem unter Kontrolle hatte. Und nun wird der Fall eingehend untersucht, um ähnliche Angriffe in Zukunft zu verhindern. Und auch Apple wird sich wohl längere Zeit mit einem Hack-Angriff beschäftigen müssen.

Wie die Kollegen von TheNextWeb nämlich berichten, wurden offenbar die Accounts von zahlreichen iTunes-Kunden gehackt. Aufgefallen ist das zuerst dem App-Entwickler Patrick Thomson. Es war ihm seltsam vorgekommen, dass seine „Quick Reader“-Anwendung relativ plötzlich, dafür aber umso heftiger Plätze im  App Store-Ranking einbüßte. Nach einer kurzen Recherche fand er heraus, dass die Produkte – minderwertige Scans von Manga-Büchern – eines vietnamesischen Entwicklers namens „mycompany/Thuat Nguyen“ nun 40 der 50 Top-Plätze belegten. Er brauchte nicht lange zu suchen, um die Erklärung dafür zu finden. In den Bewertungen zu einer App empörten sich zwei User darüber, dass ihre iTunes-Accounts augenscheinlich gehackt und dafür missbraucht worden seien, die Apps des vietnamesischen Publishers zu kaufen.

Über die Zahl der betroffenen Konten ist noch keine verlässliche Angabe möglich. Und auch die Meldungen darüber, wie viele Käufe für welchen Betrag getätigt wurden, variieren. So sprechen manche User von vielen kleineren Käufen für einen Betrag zwischen einem und drei US-Dollar. Andere hingegen beklagen einen Gesamtverlust von weit über 500 Dollar. Und so wie die Angaben hierzu nicht einheitlich sind, so unterscheiden sich auch die Einschätzungen zur Tragweite dieses Hacks. Während nämlich bei TheNextWeb dem Vorfall besondere Beachtung geschenkt wird, wiegeln die Kollegen von MacRumors ab und halten die Aufregung für übertrieben.

Sie sagen zwar, dass das Hacken von iTunes-Konten kein Kavaliersdelikt sei und für die User natürlich hohe Gefahren berge. Auf der anderen Seite sei dieses Problem schon seit mehreren Jahren bekannt, Berichte über derartige Hacks würden sich in regelmäßigen Abständen wiederholen und der aktuelle Fall sei zudem kein besonders Spektakulärer. Immerhin bedarf es für ein solches Erstürmen der Bücher-Charts, wie es Thuat Nguyen gelungen sei, nur etwa zwischen 50 und 250 App-Verkäufen pro Tag. Dazu dürfte Nguyen vermutlich „nur“ ein paar hundert iTunes-Konten gehackt haben. Im Vergleich zu den mehreren Hundert Millionen aktiven iTunes-Accounts fielen die kaum ins Gewicht.

Egal, wessen Einschätzung man in diesem Fall teilt – Apple dürfte alle Hände voll damit zu tun haben, herauszufinden, wie der Missbrauch trotz der hohen Kontrollen möglich gewesen sein konnte. Ob das Ausspionieren der Zugangsdaten zu den Konten der betroffenen User nämlich über Trojaner, Phishing-Seiten oder gar einen Hack auf einem Apple-Server gelungen ist, steht genauso offen, wie die Frage, wie groß das Ausmaß des Schadens tatsächlich ist. Denn laut MacRumors gab es bereits im vergangenen Jahr eine Menge Trittbrettfahrer bei einer ähnlichen Meldung.

(Marek Hoffmann / Screenshot)

Über den Autor

Marek Hoffmann

Marek Hoffmann hat von 2009 bis 2010 über 750 Artikel für BASIC thinking geschrieben und veröffentlicht.

13 Kommentare