Angreifer knackten einen Adminstrator-Account.
Angreifer knackten einen Adminstrator-Account. (Bild: iPhoneDevSDK)

iPhoneDevSDK Wie es zum Apple- und Facebook-Hack kam

Die erfolgreichen Angriffe auf Facebook und Apple erfolgten über die Website iPhoneDevSDK, ein populäres Forum für iOS-Entwickler. Ian Sefferman, Betreiber der Seite, erläutert, wie es dazu kam.

Anzeige

Das Forum iPhoneDevSDK war Ausgangspunkt für Angriffe auf mehrere Unternehmen, das räumte jetzt auch deren Betreiber Ian Sefferman ein. Seine Seite wurde von den Angreifern missbraucht, um Malware zu verteilen.

Nach aktuellem Kenntnisstand wurde der Account eines einzelnen Administrators geknackt und darüber das Theme des Forums geändert, so dass die Website fortan von den Angreifern platzierten Javascript-Code auslieferte. Dabei nutzten die Angreifer eine zu diesem Zeitpunkt unbekannte Lücke in Java aus, um die Systeme der Nutzer von iPhoneDevSDK anzugreifen, darunter auch Mitarbeiter von Apple und Facebook.

Wie lange die Angreifer ihren Schadcode über iPhoneDevSDK verteilten, wird derzeit noch untersucht. Sefferman geht aber davon aus, dass die Angreifer die Verteilung selbst am 30. Januar 2013 eingestellt haben.

Keine Information

Sefferman beklagt aber zugleich, dass weder Facebook noch eine andere Firma oder die Strafverfolgungsbehörden ihn kontaktiert haben. Er habe erst aus der Presse erfahren, dass Facebook darauf hingewiesen habe, dass seine Webseite der Ausgangspunkt für die Angriffe gewesen sein soll. Mittlerweile aber hat Sefferman Kontakt zu Facebook und steht im Austausch mit Facebooks Sicherheitschef Joe Sullivan.

Seine Website sei das meistgelesene Forum speziell für iOS-Entwickler und daher ständigen Angriffen ausgesetzt. Daher sei er mit seinem Forum im vergangenen Jahr zu Vanilla Forums umgezogen , da man das Thema Sicherheit dort sehr ernst nehme. Und nach aktuellem Stand hatte der Angriff auch nichts mit der Forensoftware an sich zu tun.

Sefferman geht derzeit davon aus, dass die Angreifer keine Nutzerdaten kompromittiert haben. Aus Vorsicht wurden dennoch alle gespeicherten Nutzerpasswörter gelöscht. Neue können über die Funktion "Passwort vergessen" angefordert werden.

Hinweis: Der Blogeintrag von Ian Sefferman ist im Artikel bewusst nicht verlinkt. Die URL lautet: http://iphonedevsdk.com/forum/site-news-announcements/111889-iphonedevsdk-compromised-what-happened-and-how-we-are-dealing-with-it.html.


kayozz 21. Feb 2013

Aktuell verteilt die Seite keinen Schadcode mehr. Aber auch bekannt ist, das der...

Kommentieren



Anzeige

  1. Full-Stack Entwickler (m/w)
    Scandio GmbH, München
  2. Java Developer hybris E-Commerce (m/w)
    hmmh multimediahaus AG, Bremen
  3. Quality Engineer (m/w) (Division Payment & Risk)
    Wirecard Technologies GmbH, Aschheim near Munich
  4. Navision Anwendungsberater / -entwickler (m/w)
    ZF Friedrichshafen AG, Friedrichshafen

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Blu-rays unter 10 EUR
    (u. a. 96 Hours Taken 2 für 8,99€, Godzilla 9,97€, Erbarmen 9,97€, Cloud Atlas 7,99€, Der...
  2. NEU: Der Hobbit: Smaugs Einöde Extended Edition 2D/3D BD Steelbook (exklusiv bei Amazon.de) [3D Blu-ray]
    32,97€
  3. Lucy [Blu-ray]
    14,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Sony

    Spotify ersetzt Music Unlimited auf der Playstation

  2. Spionage

    Kanadischer Geheimdienst überwacht Sharehoster

  3. Torrent

    The Pirate Bay schafft kein echtes Comeback

  4. Kepler-444

    Astronomen entdecken uraltes Sonnensystem

  5. Mobilsparte

    Sony streicht weitere 1.000 Stellen

  6. Yahoo

    Alibaba und die 40 Milliarden

  7. Trotz Update

    Samsungs SSD 840 Evo wird wieder langsamer

  8. Fluggastdatenspeicherung

    EU will Datensätze nach sieben Tagen anonymisieren

  9. Grim Fandango im Test

    Neues Leben für untotes Abenteuer

  10. Software

    Bundesweite Durchsuchung wegen Hack von Spielautomaten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Onlinehandel: Welche Versand-Flatrates sich nicht lohnen
Onlinehandel
Welche Versand-Flatrates sich nicht lohnen
  1. Amazon Original Movies Amazon will eigene Kinofilme kurz nach der Premiere streamen
  2. Ultra-HD Amazons 4K-Videos vorerst nur für Smart-TVs
  3. Befristungen Amazon verteidigt sich gegen Hire-and-Fire-Kritik

Sentry Eye Tracker ausprobiert: Nur Anfänger starren auf die Mini-Map
Sentry Eye Tracker ausprobiert
Nur Anfänger starren auf die Mini-Map
  1. Mad Catz Mobiler Alleskönner-Controller Lynx 9 vorgestellt
  2. Smartpen Livescribe 3 lernt Android
  3. Eingabegerät Apple erhält Patent für funkenden Stift

Präsenz ist die neue Immersion: Die Zukunft von Virtual und Augmented Reality
Präsenz ist die neue Immersion
Die Zukunft von Virtual und Augmented Reality
  1. WebVR Oculus-Support im Firefox Nightly
  2. Virtual Reality Facebook sucht Oculus-Experten
  3. Magic-Leap-Patente AR-Brille lässt Herzen in OP-Sälen schweben

    •  / 
    Zum Artikel