Sicherheitsprobleme im iTunes-Store

pirat itunes Im Dezember 2011 wurde ich morgends per Mail von iTunes über einen angeblichen In-App-Kauf aus einer App heraus informiert die ich garnicht besaß. Die Art und Weise wie Apple mit dem Problem umgeht, die unzähligen ähnlichen Berichte darüber im Web, und die ahnungslosen Antworten des Supports veranlassen mich, die Situation öffentlich zu machen. Vielleicht hört ja jetzt mal einer der Herrn von Apple zu.

 „Eine Abbuchung über 29,97 für den In-App-Kauf Kingdom Conquest findet statt“. So oder so ähnlich informierte mich die automatisierte iTunes-E-Mail an einem Dezembermorgen des Jahres 2011. Ich lag im Bett, checkte meine Mails und bekam einen Schreck. Ich kannte weder die angebliche App aus der heraus ich diese Abbuchung ausgelöst haben sollte, noch hatte ich in den letzten Tagen irgendwas über iTunes bestellt.

Meine erste Recherche im Netz führte mich zu zwei Informationen – erstens der Herausgeber der App ist Sega; zweitens, Foren und Boards im Netz sind voll von ähnlichen Berichten.

Ich wandte mich an Apple und informierte über die unsachgemäße Abbuchung. Nur ca. einen Tag später bekam ich eine E-Mail zurück in der mir der zuvor abgebuchte Betrag gutgeschrieben wurde. Gleichzeitig wurde ich darüber informiert, dass man aus Sicherheitsgründen meine Kreditkarte im iTunes-Store gesperrt habe. Informationen dazu, wie es zu dem Problem kommen konnte, fand ich in der Mail nicht. Das konnte ich ja nicht auf mir sitzen lassen…

Die Art und Weise wie Apple hier ganz ohne Rückfrage oder Überprüfung reagiert zeigt in erster Linie, dass das Problem nicht zum ersten Mal auftritt. Es scheint verdammt gut bekannt zu sein.

Trotz der Tatsache glücklich zu sein und sein Geld wieder zu haben ärgerte mich, dass meine Kreditkarte nun gesperrt war. Ich konnte keine Käufe mehr tätigen. Also schrieb ich abermals an den iTunes Support und bat zeitgleich zur Aufhebung meiner Kreditkartensperrung um Erklärung des Vorfalls.

Auf meine Anforderung erhielt ich folgende Antwort von Peter aus dem Musicstore_mac_de[at]apple.com:

Sehr geehrter Herr Beckemeier

Vielen Dank, dass Sie den iTunes Support kontaktiert haben, mein Name ist Peter und ich freue mich Ihnen, bei der Lösung Ihres Problems weiterhelfen zu können.  Ich möchte mich noch für die lange Wartezeit entschuldigen.

So wie Ich es verstehe wurde Ihre Kreditkarte Anfang des Jahres aufgrund einer Unautorisierten Abbuchung von Ihrem iTunes Konto gesperrt und nun möchten Sie diese wieder aktivieren.

Dies ist leider nicht möglich, daher kann die Karte nicht mehr im iTunes Store verwendet werden.

Falls nicht bereits geschehen, lassen Sie die Karte bitte bei Ihrem Kartenaussteller sperren und fordern Sie eine Ersatzkarte mit einer neuen Nummer an.

Sie können auch eine neue Kreditkarte zu Ihrem Account hinzufügen, oder eine iTunes Karte oder einen Geschenkgutschein einlösen. Auf diese Weise können Sie mit diesem Account wieder im iTunes Store einkaufen.

Im Folgenden finden Sie einige Informationen zu beiden Optionen: 

[es folgende diverse Links und Anleitungen zum Hinzufügen anderer Zahlungsmethoden und Gutscheine]

Mit freundlichen Grüßen

Peter

Apple Distribution International

 

Haben die denn einen Nagel im Kopf? Meine verdammte Kreditkarte ist nicht Schuld daran, dass Euer iTunes-Store sie mit unermächtigten Buchungen belastet. Zu den Hintergründen des Vorfalls finde ich keine Zeile in der Mail. Naja, wenigstens freut es ihn, wenn er mir helfen kann. KANNST DU ABER NICHT!

Wer schonmal mit dem Apple-Support zu tun hatte, der weiss eigentlich das hier ein extrem hoher Wert auf qualitativen und persönlichen Support gelegt wird. Dieser Fall ist genau das Gegenteil und hat mein Vertrauen in die Marke Apple und deren Sicherheitssystem nachhaltig belastet.

Ich antworte mit der folgenden Mail:

Guten Tag Peter,

danke für die Antwort.
Mit dem Inhalt und den vorgeschlagenen nächsten Schritten bin ich nicht einverstanden. Vielleicht gibt es aber auch ein Missverständnis.
Sollte letzteres nicht der Fall sein, richtet sich eventuelle Kritik nicht gegen Sie persönlich, sondern gegen die von Apple für einen solchen Fall favorisierten Lösungen.

Ich schildere zunächst noch einmal das Ausgangsproblem:

Eine App, die ich weder heruntergeladen hatte, noch gar kenne, verursachte Beginn dieses Jahres Buchungen auf meinem iTunes Account über die ich per Mail informiert wurde. Diese wurden dann, wie im Regelfall auch, an meiner Kreditkarte in Rechnung gestellt. Fakt ist für mich somit, dass dieses Sicherheitsproblem im Store auftaucht, dort ist das Einfallstor.

Hier eine in Paint liebevoll angefertigte Zeichnung:

schema itunes visa

Seitens Visa, meinem Herausgeber der Kreditkarte, gab es noch nie unautorisierte Zahlungen. Lediglich der angebliche In-App-Kauf wäre, ohne Einwand meinerseits, an die Kreditkarte berechnet worden. Seinen Ursprung hatte diese Buchung aber im Store.

Jetzt frage ich mich, wie sinnvoll es ist, eine andere Kreditkartennummer zu hinterlegen, wenn ich demselben unsicheren Store wieder eine Einzugsermächtigung dafür erteile.
Ich bezweifle nämlich stark, dass das Problem in der Zwischenzeit gelöst wurde, zumal es anscheinend noch nicht einmal erkannt wurde, wie mich die Antwort auf dieses Ticket vermuten lässt. Ihr Store hat ein Leck. Meine Kreditkarte nicht.

Im Internet gibt es zu Hauf Berichte über solche Abbuchungen, offizielle Statements seitens Apple findet man nicht. Die Transaktion wird vom Support rückgängig gemacht, die angeschlossenen Zahlungsdienste deaktiviert und damit ist der Fall gegessen. Dann steht man da wie ich und kann nichts mehr kaufen!

Und jetzt soll ich für 20€ eine neue Kreditkarte beantragen, damit ich in Apples unsicherem Store einkaufen darf?

Nein. Ich bekomme 2014 eine neue Karte, vielleicht geht es dann wieder sofern ich mich dann noch im Apple iTunes Store bewege. Ich verzichte in der Zwischenzeit auf Einkäufe, leider auch auf die für den Mac. Ich wäre eigentlich gern auf Logic umgestiegen, aber dann gibts jetzt halt Cubase.

Peter, ich bin Ihnen für Ihre freundliche und schnelle Antwort sehr dankbar, aber leider mit dem Verständnis Apples mir gegenüber sehr unzufrieden.

Vielleicht können Sie diese Problematik an die Stellen weiterleiten die für diese Prozesse und die Sicherheit des Stores zuständig sind um den Nutzerkomfort weiter auszubauen.

Ich wünsche eine schöne Adventszeit und hoffe auf eine positive, verständnisvollere und technisch detailliertere Antwort.

Mit freundlichen Grüßen,

Daniel Beckemeier
Informatikkaufmann

Daraufhin erhielt ich von Peter die Antwort, dass er das Problem nicht beaurteilen kann, was ich natürlich verstehe weil es nicht in seinem Zuständigkeitsgebiet liegt, er es aber auch nicht weiterleiten könnte. Ich sollte mich stattdessen mit einem bestimmten Supportformular in Verbindung setzen. Dieses Formular, dessen Link ich leider nicht mehr besitze, sollte sich aber eher als eine FAQ-Base herausstellen.

Fakt ist, dass ich tatsächlich nicht mehr über iTunes einkaufe. Ich habe keine andere Zahlungsart hinterlegt, sondern konzentriere mich auf kostenlose Apps. Das ist mir leichter gefallen als gedacht. Vor dem Debakel habe ich jährlich ca. 100€ für Downloadinhalte aus dem Appstore bezahlt. Das ist nun vorbei.
Wenn ich nächstes Jahr meine neue Kreditkarte bekomme, denke ich fast, dass ich diese bei iTunes nicht hinterlegen werde. Maximal werde ich Gutscheine an Tankstellen oder in Supermärkten kaufen, die in keinerlei Verbindung mit meinen Konten stehen. Dieser Vorfall hat mir gezeigt, dass der vermeintlich sichere iTunes-Market garnicht so sicher ist wie immer behauptet. Dieser Umstand wird von der Tatsache begünstigt, dass es Aplle völlig egal zu sein scheint, wenn es jeden Tag eine kleine Anzahl von unauthorisierten Abbuchungen gibt. 

Der Umstand, dass mein iTunes-Konto mit keiner Zahlungsart hinterlegt ist, hat aber auch einen anderen Vorteil… Dazu hier später mehr.

Habt Ihr ähnliche Erfahrungen gemacht? Lasst es mich in den Kommentaren wissen!

Mitlerweile hat iphone-ticker.de den Bericht zum Anlass genommen das Thema erneut anzusprechen: Link!