Phisher statt Cracker

iTunes-Code doch nicht geknackt?

Möglicherweise wurde der Algorithmus, nach dem Apple iTunes-Gutscheine erstellt, doch nicht geknackt. Laut Joe Stewart von Secure Works könnten die Codes einfach mit gestohlene Kreditkartendaten gekauft worden sein.

Möglicherweise konnten Cracker den geheimen Algorithmus für die Aktivierungs-Codes der iTunes-Geschenkkarten doch nicht umgehen. Zwar verkaufen sie die Gutscheine im Wert von 200 US-Dollar zum Teil für 2,60 Dollar in Online-Shops oder bieten sie auf Auktionsplattformen an. Ein bekannter Sicherheitsforscher liefert eine alternative Erklärung. Joe Stewart, Leiter der Malware-Forschung bei Secure Works, geht davon aus, dass die Täter keineswegs den Algorithmus für Aktivierung der Geschenkkarten geknackt haben, wie sie selber angeben. Vielmehr würden sie die Gutscheine schlicht mit gestohlenen Kreditkartendaten kaufen.

Stewart begründet seine Behauptung mit den technischen Details der Gutscheine. Diese müssen nach dem Erwerb zunächst aktiviert werden. Andernfalls könnte jeder Ladendieb in ein Geschäft spazieren, das solche Geschenkkarten vertreibt und einen Stapel davon mitgehen lassen. Es handelt sich jedoch in dem Moment nur um wertloses Plastik. Erst die Aktivierung an der Kasse macht daraus einen gültigen Gutschein - ganz ohne geheime Algorithmen. Stewart geht davon aus, dass dies auch für online erworbene Gutscheinkarten gilt.

Die von den Chinesen feil gebotenen Geschenkkarten sollen sich Medienberichten zufolge jedoch problemlos im iTunes-Store einlösen lassen. Wie aber soll es den Tätern gelingen, aktivierte Gutschein-Codes zu generieren? Stewart sieht dafür zwei mögliche Wege. Die Täter könnten Apples Netzwerk gehackt haben und direkt aktivierte Codes gestohlen haben, bevor diese eingelöst wurden.

Wahrscheinlicher ist laut Stewart jedoch eine andere Variante: die Gutschein-Codes werden von den Tätern mit gestohlenen Kreditkartendaten im iTunes-Shop gekauft. Diese Daten sind für geringe Beträge auf dem Schwarzmarkt erhältlich. Im Gegensatz zu anderen Waren, die auf diese Weise gekauft und weiter verkauft werden, entfällt das Transport- und Zustellproblem. Ein Gutschein-Code lässt sich problemlos und anonym per Instant Messenger oder Mail versenden. Was wirklich dahinter steckt, wird sich wohl noch heraus stellen müssen. Von Apple gibt es noch keine Stellungnahme dazu. Vielleicht können die chinesischen Behörden etwas Licht in die Angelegenheit bringen, wenn die ersten Täter verhaftet und verhört sind. (PC-Welt/mja)