Mein iTunes-Account über Nacht leergeräumt…

In der Nacht von Mittwoch auf Donnerstag der vergangenen Woche bediente sich jemand des Guthabens meines iTunes-Accounts. Zirka $80 US-Dollar verweilten dort zum Einkauf von Apps, TV-Serien oder Filmen. Am Freitagmorgen dümpelte der Kontostand auf mageren $5 US-Talern.

iTunes-504.jpg

Keine schöne Sache.

Ich bemerkte das geringe Guthaben im mobilen App Store am iPhone. An untersten Position der Titelseite für Neuveröffentlichungen wirft man zwangsläufig einen Blick auf den eingewählten Benutzernamen sowie den aufgeladenen Kredit. Meine erste Reaktion: Mit $5.32 US-Dollar handelt es sich bestimmt um einen Fehler im System? Aber auch ein An- und Abmelden kitzelte nicht den vertrauten Kontostand hervor.

appstore.jpg

Ich habe meinen Saldo so exakt im Kopf, weil ich im US-Store keine Kreditkarte hinterlegt habe und diesen vornehmlich zum Einlösen für US-Promocodes von Entwicklern nutze. Die $80 US-Dollar sind ‚Überbleibsel‘ aus verwendeten US-Apple-Gutscheinkarten. Es kommt immer mal wieder vor, dass dort Apps eine Veröffentlichung erhalten, die hierzulande gar nicht oder erst viel später erscheinen.

iTunes-1.jpg

Da keine Plastikkarte dem Benutzerkonto hinterlegt ist, rechnete ich mit keinem weiteren finanziellen Schaden. Das aufgeladene Geld war ja bereits ausgegeben. Trotzdem trödelte ich auf dem Weg zum iTunes am Computer nicht und änderte dort zuallererst mein Passwort. Zugegeben: Die Konstruktion der Sicherheitskombination war schwach. Es handelte sich zwar um einen generischen Begriff, Sonderzeichen oder Großbuchstaben vermisste das Schlüsselwort jedoch. Aus Bequemlichkeit.

Da die Benutzerdetails bei jeder Kleinigkeit unzählige Male am mobilen Gerät abgefragt werden, war ich schlicht und ergreifend zu faul für eine kryptischere Zahlen- und Buchstabenkombination. Ein Fehler, der mir (hoffentlich) nicht noch einmal so leicht passiert…

Update: Apple fordert mittlerweile bei der Passwortvergabe einen Mix aus Buchstaben und Nummern, der mindestens acht Zeichnen lang ist. (Danke, Gregor!) /Update

(Mir) bleibt jedoch bislang unklar, wie die Kombination aus E-Mail und Passwort zusammengeführt wurde. In die Falle von gängigen Phishing-Mails bin ich mit Sicherheit nicht getappt.

purchase-2.jpg

Die ‚Purchase History‘ im iTunes-Account führt 27 Kauftitel auf, die mein Account in dieser Nacht erwarb. Von ‚Talking Baby Hippo‚ über ‚Talking Larry the Bird‚ bis zu absurden Korea-Lifestyle-Apps. Darunter ist kein eindeutiges Ordnungsprinzip zu erkennen, das eventuell einzelne App-Store-Produzenten oder deren Titel bevorzugte und dadurch mit einer guten Wertung hätten versehen werden können. Auch meine ‚Review-Verwaltung‘ gibt keinerlei Auskunft, das „Benutzer-Rezensionen“ in meinem Namen abgegeben wurden.

Alle nicht von mir getätigten Einkäufe meldete ich mit dem kurzen Verweis „Account hijacked“ an Apple. Außerdem verfasste ich ein paar kurze Zeilen der Erklärung an den „iTunes Store Customer Support“ (iTunesStoreSupport@apple.com).

history2.jpg

Zwei (Wochenend-)Tage später, am gestrigen Sonntag, erhielt ich eine halb-personalisierte Antwort, dass man sich meines Problems annimmt. Der Account wäre temporär ’stillgelegt‘, man empfahl mir das Passwort zu ändern und bei Bedarf die Kreditkarteninformationen zu entfernen. Um den Account wieder zu aktivieren, sollte ich die hinterlegte (Post-)Adresse sowie die letzten (von mir) offiziell getätigten Einkäufe (inklusive dessen Bestellnummern) nachreichen. Auf diese E-Mail-Antwort erschien am heutigen Morgen formlos das Guthaben zurück auf meinem Konto.

Den Verweis „Please note that this is a one-time exception to our sales policy.“ aus der ersten E-Mail klingt mir jedoch noch in den Ohren.

Insgesamt keine lustige aber lehrreiche Erfahrung, die zeigt, das gute Passwörter trotz kulantem Support immer noch oberste Priorität haben.