Das war ja ein Brummer, aber Apple hat schnell reagiert. Und zwar war es möglich das Passwort eines Apple ID-Accounts zurückzusetzen, wenn man das Geburtsdatum und die E-Mail-Adresse eines Benutzers kannte. Hierzu konnte man mit Hilfe der Iforgot-Seite von Apple das Passwort zurücksetzen. Technisch versierten Nutzern und mit der Anleitung zur Sicherheitslücke war es ab Eingabe der Apple-ID (die Mailadresse des Benutzers) und des Geburtsdatums möglich die restlichen Sicherheitsabfragen durch Manipulation der URL zu überspringen.
Apple hat schnell reagiert
Gestern wurde die Sicherheitslücke bei Apple ID bekannt und prompt war Iforgot erst einmal abgeschaltet. Mittlerweile hat Apple den Fehler ausgemerzt und Iforgot ist wieder online, ohne bei der URL ausgetrickst werden zu können.
Pass auf’s dein Geburtsdatum auf!
Für mich ist das nur wieder ein weiterer Grund sein Geburtsdatum nicht überall preiszugeben und öffentlich zugänglich zu machen. Das Geburtsdatum dient immer noch bei zu vielen Dingen wie Bankgeschäften via Telefon oder bei Eurem Mobilfunk-Anbieter als Legitimationsmittel, wie hier auch bei der Apple ID. Gut bei Apple gab es noch mehr fragen, aber meiner Erfahrung mit Telefon-Banking zeigt, dass das Geburtsdatum noch zu häufig ausreicht als Legitimation. Deswegen achtet darauf und zeigt Euer Geburtsdatum auf Facebook und Co. nicht öffentlich an.
