Sind Apple-Geschenkkarten sicher?

 (daringfireball.net)
1 Punkte von GN⁺ 2025-12-19 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Nutzer löste eine manipulierte Apple-Geschenkkarte im Wert von 500 US-Dollar ein, woraufhin sein Apple-Konto gesperrt wurde und er den Zugriff auf sämtliche Inhalte verlor
  • Die Karte wirkte wie ein Originalprodukt aus einem großen stationären Einzelhandelsgeschäft, doch direkt nach dem Einlösen wurde das Konto deaktiviert, sodass sowohl iCloud als auch alle Käufe im App Store verschwanden
  • Adam Engst von TidBITS erklärte, wegen solcher Risiken müsse man Apple-Geschenkkarten praktisch wie digitale Malware behandeln, und riet davon ab, sie zu kaufen oder zu verwenden
  • Das Executive-Relations-Team von Apple untersuchte den Vorfall, doch die Ursache der Kontodeaktivierung und der Wiederherstellungsprozess blieben undurchsichtig; erst eine Woche später wurde das Konto wiederhergestellt
  • Der Fall macht Bedenken hinsichtlich der Zuverlässigkeit von Apple-Geschenkkarten und der Intransparenz der Kontosicherheitsmechanismen deutlich

Der Fall der Kontosperrung von Paris Butterfield-Addison

  • Butterfield-Addison kaufte in einer großen Einzelhandelskette eine Apple-Geschenkkarte über 500 US-Dollar und löste sie ein; unmittelbar danach wurde sein Apple-Konto gesperrt und der Zugriff auf alle Medienkäufe sowie auf iCloud blockiert
    • Er schilderte den Vorfall in seinem Blog; Daring Fireball, Michael Tsai, Nick Heer, AppleInsider, The Register und weitere Medien berichteten darüber
    • Das Executive-Relations-Team von Apple untersuchte den Fall, doch zunächst gab es weder eine Kontowiederherstellung noch eine Erklärung für die Ursache
  • Gruber erwähnte, dass der vergleichsweise hohe Betrag von 500 US-Dollar ein Teil des Problems gewesen sein könnte, bestätigen lässt sich das aber nicht, da Apple keinen offiziellen Grund genannt hat
    • Apple begrenzt in den USA den Maximalwert von Geschenkkarten auf 2.000 US-Dollar, daher ist ein Betrag von 500 US-Dollar an sich nichts Ungewöhnliches

Kontroverse um die Sicherheit von Apple-Geschenkkarten

  • Adam Engst von TidBITS erklärte, dass das Einlösen manipulierter Geschenkkarten zur Kontosperrung führen kann, und forderte dazu auf, den Kauf von Apple-Geschenkkarten zu vermeiden und breiter auf die Risiken hinzuweisen
    • Er verglich das mit digitalem russischem Roulette und warnte, dass selbst als Geschenk ein Risiko bestehe
  • Gruber erklärte nach dem Vorfall, er werde Geschenkkarten nur noch direkt im Apple Store verwenden und nicht mehr für Käufe einsetzen, die mit einem Apple-Konto verknüpft sind
    • Er wies darauf hin, dass Betrugsmaschen immer raffinierter werden und selbst eine vertrauenswürdige Herkunft der Karte keine vollständige Sicherheit garantiere

Intransparenz bei Kontodeaktivierung und Wiederherstellung

  • Gruber kritisierte, es sei unklar, ob Apples Entscheidung zur Kontodeaktivierung von Menschen getroffen wurde oder von einem automatisierten Algorithmus zur Betrugserkennung
    • Er formulierte es so, dass man meinen könnte, Apple könne das Konto intern mit einem einzigen Schalter wiederherstellen, in der Praxis scheine das jedoch nicht möglich zu sein
  • Für den Fall, dass eine Kontowiederherstellung unmöglich ist, erwähnte er, Apple könnte alle Käufe des Nutzers erstatten und die Erstellung eines neuen Kontos veranlassen
    • Ein solcher Ablauf birgt die Möglichkeit eines dauerhaften Verlusts von Nutzerdaten und Kaufhistorie

Entwicklung nach dem Vorfall

  • Kurz nach Veröffentlichung des Artikels ergänzte Butterfield-Addison, dass sein Konto durch einen zuständigen Mitarbeiter aus Apples Executive-Relations-Team wiederhergestellt worden sei
    • Das Konto wurde zwar wiederhergestellt, warum es gesperrt wurde und warum die Lösung eine Woche dauerte, ist aber weiterhin ungeklärt
  • Gruber betonte, dass selbst nach der Lösung des Falls die grundlegende Frage offenbleibe, wie sicher das Einlösen von Apple-Geschenkkarten tatsächlich ist

Offene Fragen und Implikationen

  • Der Fall legt Schwachstellen im Apple-Geschenkkartensystem und die Intransparenz der Kontoverwaltungsprozesse offen
  • Er zeigt, dass Kontosperrungen selbst bei regulären Kaufkanälen auftreten können, was das Vertrauen der Nutzer beeinträchtigt
  • Zu einem zentralen Streitpunkt wird die Frage, ob Apples interne Sicherheits- und Kundensupport-Systeme zu stark von Automatisierung abhängen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-19
Hacker-News-Kommentare

  • Dieser Vorfall wirft mehrere Themen auf. In einer Zeit, in der Apple-/iCloud-Konten für den Alltag unverzichtbar sind, ist es ein ernstes Problem, dass ein Konto so leicht gesperrt werden kann
    Der Zugriff auf Nachrichten, Apple Wallet, digitale Ausweise, Abos, Medienkäufe usw. kann in einem Moment komplett blockiert werden. Statt bloß zu raten, man solle sich nicht auf Technik verlassen, braucht es meiner Meinung nach Mechanismen zur Verhinderung solcher Situationen
    Außerdem gibt es bei Scheidung oder Trennung keine Möglichkeit, Kaufhistorien aufzuteilen, und es ist auch nicht möglich, sich aus einem Familienkonto zu lösen oder Kinder mehreren Familien zuzuordnen. Apple sollte mit solchen realistischen Szenarien besser umgehen

    • Das heutige Serviceniveau fühlt sich nicht anders an als vor 25 Jahren. Früher war es kein großes Problem, eine E-Mail zu verlieren, aber heute ist ein einziges Konto mit Hunderten wichtiger Dienste verbunden
      Die Zahl der Support-Mitarbeiter ist jedoch kaum gestiegen, und man ist meist auf ausgelagerte Callcenter angewiesen, die nur FAQs vorlesen
    • Apple- und Google-Konten sind extrem wichtig, aber Betrüger können täglich Tausende davon erstellen. Daher ist es gut möglich, dass ein erheblicher Teil aller Konten Fake-Accounts sind
      Echte Nutzer wollen keinen Spam, also muss Apple betrügerische Konten schnell sperren. Gleichzeitig müssen aber auch legitime Konten geschützt werden, weshalb ein Gleichgewicht nötig ist
      Wenn Apple Kontensperrungen lockern würde, wäre als Gegenleistung stärkere Identitätsprüfung nötig. Das heißt: Wenn Konten sicherer bleiben sollen, steigt zwangsläufig auch das Maß an Überwachung
    • Ich halte iCloud für einen überbewerteten Dienst. Lange Zeit gab es nicht einmal Verschlüsselung der gespeicherten Daten. Ich nutze Time Machine und einen Passwortmanager und bewahre Backups in einem Safe auf
    • Die meisten meiner Fotos liegen in Google Photos, und das macht mir Sorgen. Ich habe das Gefühl, ich sollte ein doppeltes Backup über Amazon oder iCloud anlegen
    • Auch Google ist ähnlich ineffizient. Es gibt keine Möglichkeit, jemanden aus den Kontakten vollständig zu blockieren. Nachdem ich mich von einem früheren Mitgründer getrennt hatte, geriet ich einmal in Schwierigkeiten, als ich mit einem Freund gleichen Namens zusammenarbeitete und die Autovervollständigung dazwischenfunkte. Solche Funktionen zum Kontaktabbruch sind in der realen Welt zwingend nötig

  • Ich denke, die Grenze zwischen legitimer und betrügerischer Nutzung von Geschenkkarten ist sehr schmal. Früher habe ich einmal versucht, zum Sammeln von Kreditkartenpunkten „manufactured spend“ zu betreiben, und das sah fast wie Geldwäsche aus
    Mit bestimmten Geschenkkarten konnte man Punkte doppelt sammeln und sie sofort wieder in Bargeld umwandeln. Am Ende wurde dieses Schlupfloch schnell geschlossen

    • Ich habe auf ähnliche Weise früher Flugmeilen gesammelt und damit eine Europareise gemacht. Ich kaufte mit Prepaid-Visa-Karten Money Orders, zahlte sie wieder ein und ließ die Punkte endlos im Kreis laufen. Ich erinnere mich noch, wie mich Kassierer misstrauisch ansahen
    • Im Grunde ist das kaum von Geldwäsche zu unterscheiden. Der einzige Unterschied ist, dass es sich nicht um illegale Gelder handelt. Je nach Absicht verläuft die Grenze zwischen legal und illegal
    • Außerdem kann selbst eine auf den ersten Blick legitime Geschenkkarte irgendwo in der Lieferkette bereits mit Betrug verknüpft worden sein. Wenn das Opfer den Fall meldet, kann auch ein völlig unschuldiger Nutzer Schaden erleiden

  • Gut, dass der Fall gelöst wurde, aber es bleiben viele Fragen offen

    1. Warum wird ein ganzes Konto gesperrt, nur weil eine fehlerhafte Geschenkkarte eingelöst wurde?
    2. Warum bekommt man ohne mediale Aufmerksamkeit keinen Support?
    3. Sollte man Unternehmen daran hindern, so groß zu werden, dass Kundensupport praktisch unmöglich wird?
      Banken behandeln solche Probleme stufenweise, aber Plattformen wie Facebook sperren Konten manchmal innerhalb eines Tages dauerhaft
    • Banken dürfen das Geld ihrer Kunden rechtlich nicht dauerhaft einfrieren, und die Verfahren zur Identitätsprüfung sind klar geregelt. Bei Online-Konten gibt es dagegen kaum gesetzliche Regulierung, und Identitätsdaten werden oft gar nicht erhoben
    • Allerdings frieren auch Banken gelegentlich ohne ersichtlichen Grund Konten ein. Man hatte vielleicht nur Glück; es kann jedem passieren
    • Wahrscheinlich hat Apple den Nutzer für einen Kriminellen gehalten. Aber warum statt des eigentlichen Täters das Opfer verdächtigt wurde, ist nicht nachvollziehbar. Ich glaube, weniger die Größe als vielmehr eine Kultur der Missachtung von Kunden ist das Problem
    • Vielleicht ist der Name wegen eines Wortes wie „Butt“ in einem automatischen Filteralgorithmus hängen geblieben. Eine grundlegende Antwort gibt es weiterhin nicht

  • Verwandter Artikel: Apple has locked my Apple ID, and I have no recourse — 1730 Punkte, 1045 Kommentare

  • Im Kern geht es um die Illusion von Eigentum. Menschen glauben, sie besäßen ihre Konten und Daten, aber tatsächlich ist das nicht so. Schon das Wort „Kauf“ führt in die Irre. Juristisch müsste man eher von „Miete“ oder „Einräumung eines eingeschränkten Nutzungsrechts“ sprechen

    • Schon beim Erstellen eines Apple-Kontos stimmt man Nutzungsbedingungen zu, nach denen das Konto jederzeit geschlossen werden kann. Wichtiger als ein Eigentumsbegriff wäre etwas wie eine Charta der Verbraucherrechte. Rechtmäßige Nutzer sollten das Recht haben, gegen eine Kontoschließung Einspruch einzulegen
    • Ich finde eher, dass das Gesetz echten „Kauf“ garantieren sollte. Es ist nicht richtig, Bürgerrechte weiter zu schwächen

  • Ich werde meiner Familie jetzt sagen, dass Apple-Geschenkkarten riskant sind und nicht verwendet werden sollten. Nach der Herkunft zu fragen ist auch schwierig, daher ist ein komplettes Verbot wohl am sichersten

  • Offensichtlich sind das keine sicheren Geschenkkarten. Dieser Vorfall zeigt, wie stark wir an digitale Ökosysteme gebunden sind. Früher habe ich gedankenlos auf „Login with Google/Apple“ geklickt, jetzt denke ich zweimal darüber nach

    • Ein Apple-Mitarbeiter hat geraten: „Geschenkkarten unbedingt direkt bei Apple kaufen.“ Das ist wohl die praktikabelste Lösung
      Am Ende sind im Einzelhandel verkaufte Geschenkkarten nur Köder für Betrüger. Ich denke sogar, man könnte gegen den Händler, der solche Produkte verkauft hat, vor dem Amtsgericht im Bagatellverfahren klagen
    • Ich nutze für wichtige Konten niemals Social-Login-Buttons. Nur für Wegwerfkonten

  • Auch aus Sicht der Händler ist dieses Problem schwierig. Geschenkkarten sind das Mittel Nummer eins für Zahlungsbetrug. Weil sie sich mit gestohlenen Karten wie Bargeld einsetzen lassen, reagieren Risikosysteme extrem empfindlich
    Trotzdem darf man den Schaden für Kunden nicht ignorieren

    • Dann sollte man eben einfach den Verkauf von Geschenkkarten einstellen
    • Einige Geschäfte erlauben den Kauf von Geschenkkarten nur gegen Bargeld. Das ist keine vollständige Lösung, aber eine Art Puffer
    • Ich finde diese Logik nicht überzeugend. Wie Patrick McKenzie sagt, gibt es das Konzept, dass „das optimale Maß an Betrug nicht null ist“. Wenn man jeden Betrug verhindern will und dadurch der Schaden für Kunden größer wird, ist das falsch
      Unternehmen sollten ein gewisses Maß an Betrug als Kosten akzeptieren. Verwandter Text
    • Apple kann sowohl die Kaufkarte als auch den Nutzer verfolgen. Das Problem ist, dass Algorithmen mit Fehlalarmen selbst legitime Nutzer sperren

  • Für eine bekannte Person wurde das Problem gelöst, aber normale Menschen haben keine Möglichkeit, solche Fälle zu klären. Man muss die technische Ursache verstehen, einen Artikel schreiben, Aufmerksamkeit in den Medien erzeugen und erst dann greift PR ein
    Am Ende sind Apple und Google keine vertrauenswürdigen Orte, um Daten anzuvertrauen

    • Ich habe auf Steam etwas Ähnliches erlebt. Mein Konto wurde wegen eines Zahlungsproblems gesperrt, und ich hätte beinahe Spiele im Wert von Tausenden Dollar verloren. Ich konnte es nur wiederherstellen, indem ich Bankunterlagen einreichte, aber die Reaktion war eher im Stil von „dieses eine Mal drücken wir ein Auge zu“
    • Als Scherz gesagt: Vielleicht muss man zur Lösung solcher Probleme sogar selbst eine Apple-Entwicklerkonferenz veranstalten.
      Technisch ließe sich Betrug wohl verringern, wenn das Geschenkkartensystem eine Erkennung doppelter Aktivierungen bekäme
    • Wenn man solche Vorfälle sieht, denke ich, Apple täte besser daran, das Geschenkkartengeschäft einzustellen. Die meisten Betrugskonten stammen aus diesem Markt
    • So wie bei großen Ausfällen ein RCA (Root Cause Analysis) veröffentlicht wird, sollte Apple auch zu diesem Vorfall ein offizielles RCA vorlegen
    • Nachdem ich diesen Fall gesehen habe und an meine in iCloud gespeicherten Fotos denke, habe ich beschlossen, Apple-Geschenkkarten nie wieder zu verwenden

  • Ich habe vor Kurzem etwas Ähnliches erlebt. Das Geschenkkartensystem von Apple wirkt verdächtig. Vielleicht wurden Verkaufszahlen künstlich aufgebläht oder die Sicherheit wurde wegen eines starken Anstiegs von Betrug verschärft
    Meine Lehren daraus sind folgende

    1. Geschenkkarten für Hardwarekäufe über eine separate Apple-ID verwalten
    2. Alle Belege aufbewahren — sie sind der einzige Beweis
    3. Apples Support ist darauf vorbereitet, Nutzer wie Betrüger zu behandeln
    • In letzter Zeit nehmen auch bei Target usw. neue Geschenkkarten-Betrugsmaschen stark zu. Wenn möglich, sollte man sie nur direkt im Laden verwenden
    • Zusätzlich gilt: Ohne Einfluss durch einen Blog kümmert Apple das offenbar überhaupt nicht. Selbst mit Belegen wie bei Buttfield-Addison wird man ignoriert