Datenschleuder des Tages ist die Fleischbörse meetOne, die mal eben Namen, Mailadressen und unverschlüsselte Passwörter [!] von 900.000 Nutzern im Internet veröffentlicht hat. Ja, völlig frei und ohne großen Hack zugänglich. Dazu gabs dann auch alle weiteren Profilinfos, eben alles das, was Menschen sonst noch auf eine so genannte »Singlebörse« (fürchterliches Wort) stellen. Vor allem, wenn man sich die Stellungnahme von Seiten meetOnes anschaut, nachdem dieses Sicherheitsloch, in dem man das ganze Sonnensystem unterbringen konnte, zugestopft wurde: Laut Henning sei das ›Ausmaß der Lücke […] überschaubar‹, weil ›zu keiner Zeit sensible Daten wie Abrechnungsdaten ausgelesen werden konnten‹. Wos um Geld geht, sind die Daten sensibel, und wos ziemlich direkt in die Intimsphäre reinragt… ähm… eher weniger. Genau so wurde dort auch programmiert. Einfach nur episch, so etwas könnte sich kein noch so zynischer Satiriker besser ausdenken! Wer trotz solcher »bedauerlicher Einzelfälle« immer noch irgendwelchen Web-Klitschen seine Daten geben will: Bitte, immer nur zu! Ihr seid erwachsene und somit zumindest formell geschäftsfähige Menschen…
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Einfach und unsicher im Internet bezahlen – Heute: Die von den Deutschen Telekomikern betriebene, vom TÜV geprüfte und mit diversen Logos für allerhand Sicherheits-Schlangenöl…
…verzierte Website von Click&Buy ermöglichte es, mit einer XSS-Attacke das Login-Cookie anderer Nutzer mitzunehmen. »Click and bye«, sozusagen. So hätten Angreifer fröhlich mit dem Geld anderer Leute einkaufen können, was ja viel kostensparender als das eigene Geld ist. Und falls jemand glaubt, die Telekomiker bei Click&Buy seien – es geht ja nur um so etwas Unwichtiges wie Geld – um die Sicherheit ihrer Website wenigstens ein bisschen bemüht gewesen: Wenn man die auf so eine Lücke hinweist, passiert erstmal wochenlang nichts. Ich glaube beim Lesen solcher Zeilen ja immer, dass da noch so manche Lücke offen sein könnte, ohne dass jemand was tut.
Ich kanns nicht oft genug sagen: Weder Bullshit-Zertifikate noch große Marken und Unternehmen sind ein Grund für Vertrauen im Internet. Schon gar nicht, wenns um Geld geht.
Kleiner Nachtrag: Die scheinen ja in gewissen Kreisen sehr beliebt zu sein…
-
Nachtwächter
Datenschleuder des Tages: Gamigo hat mal eben elf Millionen ungesaltete MD5-Hashes von Passwörtern (trivial, die Passwörter rauszukriegen) und dazu über acht Millionen Mailadressen seiner Nutzer »veröffentlicht«. Aber es war auch nur eine alte Datenbank, die da auf einem mit dem Internet verbundenen Server rumlungerte. Es gibt nichts zu sehen, einfach weitergehen; die Axel Springer AG als Gamigo-Betreiber hat schon eine »umfangreiche IT-Sicherheitsprüfung« veranlasst. Dass diese Prüfungen aber auch immer erst kommen, wenn es zu spät ist…
-
Nachtwächter
Cloud des Tages: Es sieht so aus, als würden bei TropfBox ein paar Mailadressen raustropfen, direkt in die Listen von Spammern. Bitte einfach weitergehen, die Cloud ist sicher!
-
Nachtwächter
Bug des Tages: Diesen verkrüppelten und seinen Nutzer entrechtenden Computer, der von Amazon als E-Book-Reader namens »Kindle Touch« verramscht wird, mit shutdown -r now runterfahren oder irgendeinen beliebigen Befehl mit vollen administrativen Rechten ausführen – einfach nur, indem sich der Besitzer eine Website mit dem eingebauten Browser anschaut. Das Problem ist aber erst seit drei Monaten dokumentiert, und die so genannte »Sicherheitsabteilung« von Amazon blahmeldelt auch, dass sie schon an einem Patch arbeitet. Großes Kino!
-
Nachtwächter
Das Security-Spezialprodukt des Tages ist die externe, über USB 2 angeschlossene Festplatte mit total sicherer Verschlüsselung. Werber so: »Hier sind ihre Daten sicher«. Wirklichkeit so: Es wird einfach immer wieder der gleiche Block von 512 Bytes mit den Inhalten XOR-verknüpft, so dass man nur ein bekanntes Stück Dateiausschnitt benötigt, um die ganze Platte flutsch flutsch zu dechiffrieren. Und bekannte Bytefolgen finden sich auf jeder Festplatte zuhauf. Wer sich auf die Zusicherung der Werber verlassen hat und diesen Schrott anstelle richtiger Kryptografie eingesetzt hat; wer meinte, dass da schon kein Dritter an die Daten kommen könne, hat schnell den Schaden und braucht für den Spott nicht zu sorgen. TrueCrypt ist übrigens kostenlos.
-
Nachtwächter
Kaspersky probiert tolle neue Methoden des Marketings für sein Antivirus-Schlangenöl aus – besonders an Menschen gerichtet, die nicht so viel Ahnung haben und sich deshalb leichter einschüchtern lassen. Ein Schelm, wer da von scareware spricht.
-
Nachtwächter
Datenschleuder des Tages ist Formspring. Offenbar ist die Nutzerdatenbank auslesbar gewesen und die Passworthashes zirkulieren gerade zur Entschlüsselung im Internet. Wer dort ist oder war und das Passwort an anderer Stelle auch verwendet hat: Fröhliches Ändern!
-
Nachtwächter
Kurze Durchsage an die Banken: Geht beim gegenwärtigen Stand der PC-Sicherheit davon aus, dass die Rechner eurer Kunden infiziert sind. Und dann die Empfehlung mit den (unter anderem) Wischofonen, die in Sachen Sicherheit ein Rückschritt in die Neunziger Jahre sind und bei denen die meisten Besitzer noch nicht einmal Bewusstsein dafür entwickelt haben, dass es sich um »richtige« und damit auch angreifbare Computer handelt! Genau das Richtige für die Fernkontoführung!
-
Nachtwächter
Security-Facepalm des Tages: Obwohl eHarmony seine Nutzer dazu aufforderte, starke Passwörter unter anderem mit Groß- und Kleinbuchstaben zu verwenden, speicherten sie die Passwörter alle in Grossbuchstaben und schwächten die ohnehin schwache Sicherung damit noch weiter.
-
Nachtwächter
Datenschleuder des Tages: LinkedIn hat millionenfach die Kombination Nutzername und Passworthash »veröffentlicht«. Wenn ich Kommentar Vier im verlinkten Netzpoltik-Artikel Glauben schenken darf, gehören die Mailadressen auch dazu, und dann wohl auch noch viel mehr persönliche Daten. Tja, die unnötige Zentralisation der gesamten Kommunikation auf irgendwelchen Web-Zwo-Nullsites hat eben alles ganz bequem gemacht.
Ich bin ja mal gespannt, was LinkedIn verpatzt hat, dass es dazu gekommen ist. Mein erster Tipp ohne weitere Informationen: SQL-Injection. Einfach nur, weil das immer noch so häufig geht.
Nachtrag: Die Bestätigung durch LinkedIn, dass die Kombinationen Passwort-Hash und Nutzername echt sind. Natürlich neben der üblichen Entschuldung, direkt gefolgt von der ebenso üblichen Beteuerung, dass man die Sicherheit der Nutzer sehr ernst nehme. Aber dafür völlig mit ohne weitere Informationen, welche Daten noch abgegriffen werden konnten.
Nachtrag Zwei mit EPIC FAIL: Aber nein, die Passwort-Hashes in der Datenbank waren nicht gesaltet und die Passwörter werden gerade geknackt, dass es nur so rattert. Aber in all dieser geistigen Trübnis gibt auch ein kleines Lichtchen, denn LinkedIn hat jetzt versprochen, demnächst einmal gesaltete Passworthashes zu speichern. Ich wünsche den Spezialexperten von LinkedIn viel Spaß dabei, im Jahr 2012 eine kryptografische Technik aus den Siebziger Jahren nachzurüsten.
Ach ja, wer immer noch seine Daten brav bei solchen Läden abgibt, weil das alles so toll, sozial, unkompliziert und einfach ist: Glaubt nicht, dass an anderen Stellen mehr Sorgfalt gepflegt wird, wenns um den Schutz persönlicher Daten geht! LinkedIn ist kein kleines Forum von Bierdeckelsammlern. Schaut euch einfach an, wofür Geld da war und wofür es nicht da war. Geld war da für Werbung, um die Marke im Web und teilweise auch in der Journaille gegenwärtig zu machen. Geld war nicht da, um jemanden zu bezahlen, damit er ein paar übliche und wohlbekannte Sicherheitsmaßnahmen bei der Speicherung von Passwörtern implementiert. Allein daran, was dieser Laden für »sinnvolle Ausgaben« hält, und was dieser Laden offenbar für »sinnlose Ausgaben« hält, wird deutlich, wie sehr er seine Nutzer verachtet und ausschließlich als Grundlage für ein Businessmodell verwurstet. Ich bin mir sicher, dass es bei anderen Web-Zwo-Nullsites nicht viel besser aussieht.
-
Nachtwächter
Epic Fail! Eine Installation von Meikrosoft Windohs über das eingebaute Windohs Update mit Schadsoftware »anreichern«. Nur echt mit Zertifikat von Meikrosoft. Solche Updates macht man ja wegen der »Sicherheit«, da soll der Code auch »sicher« aus der richtigen Quelle stammen. Aber keine Sorge, Meikrosoft arbeitet schon daran, die fehlende »Sicherheit« durch weitere Schutzmaßnahmen weiter auszubauen…