Oh, was für ein gigantischer Zuwachs an Sicherheit! Guhgell Mäjhl will jetzt seine Anwender vor Phishing schützen, indem die vollständige Absenderadresse einer Mail angezeigt wird. Großartige Idee, dass euer Benutzer jetzt auch bei euch den Absender sieht! Dafür habt ihr den Innovationspreis »Der goldlackierte rostige Stern von damals« verdient! Und dass ihr das auch noch an die Presse meldet, damit die Presse es meldet, das ist schon ein bisschen wie… ähm… beim Gehen hingefallen sein, mit dem Gesicht in einen Hundehaufen gekommen zu sein und jetzt deswegen ganz stolz in die Kamera eines Fotoreporters zu grinsen. Ihr wisst aber schon bei Guhgell, dass die Absenderangaben in Spams nahezu immer gefälscht sind, oder?!
Schlagwort Security RSS
-
Nachtwächter
-
Nachtwächter
Sicherheitsproblem des Tages: Die USB-Maus mit ein paar zusätzlichen, aber natürlich weniger offensichtlichen Funktionen. Großartige Idee für einen Hack!
-
Nachtwächter
Tja, diese Hacker! Warum hacken die denn immer irgendwelche Websites, statt die Betreiber einfach mal auf die gefundenen Fehler hinzuweisen, wenn sie schon dauernd von Ethik und son Quatsch faseln?! Na, weil es gewissen Betreibern eben sehr gleichgültig ist, solange nichts passiert. Bei Spiegel Online etwa, da wird über Monate hinweg gar nichts getan, wenn jemand auf Sicherheitslücken in der Website hinweist – selbst, wenn damit bestehende Accounts von Lesern übernommen oder gar die Zugangsdaten ausgelesen werden können. Da muss erst die Katastrophe her, bevor überhaupt irgend etwas kommt – und dann wird wie immer laut über die pösen Kriminellen gejammert, denen man so schutzlos ausgeliefert ist. Vorher bittet man aber nur den lieben St. Florian, doch bitte bitte andere Häuser anzuzünden. Ganz großes Kino!
-
Nachtwächter
Tja, die so bequeme Plugin-Installation von WordPress, dieses einfache »suchen und klicken«, so etwas hat eben auch seine Schattenseiten. Zum Beispiel, wenn man jemand ein paar Backdoors in populären Plugin-Code reinbaut und das Zeug dann halbautomatisch in einer riesigen Anzahl Blogs installiert wird. Alles, was ich vor einiger Zeit über Theme-Spam und -Malware geschrieben habe, gilt natürlich sinngemäß auch für Plugins.
Übrigens: WordPress.com soll auch betroffen gewesen sein. Hierzu gibt es allerdings im offiziellen Blog von WordPress.com zurzeit noch keinen Hinweis. Ich bin mir daher nicht so sicher, ob das stimmt. Aber seis drum: Ein Passwort ist schnell geändert.
-
Nachtwächter
Wer braucht eigentlich diese Leute, die sich LulzSec nennen, wenn die Lulz ganz von alleine kommen; wenn aus der Inkompetenz großtönender Cloud-Anbieter wie Dropbox ein unwiderstehliches gluckserndes Lachen aufsteigt, das sich zu zwanghaften und schmerzhaften Kontraktionen steigert, weil es einer dieser Witze ist, die wirklich schlecht sind und doch so gut funktionieren: Dropbox akzeptierte vier Stunden lang beliebige Passwörter.
-
Nachtwächter
Ach, mal wieder eine schlechte Nachricht übers Zwitscherding. Wenn man irgendwelchen Anwendungen (sowas wie TwitPic oder BotPwn) Zugriff gibt, oder wenn man sich irgendwo so irre bequem über die Twitter-API authentifiziert, dann räumt man damit jemanden anders das Privileg ein, die eigenen Direktnachrichten zu lesen und unter fremden Namen Direktnachrichten an andere zu senden. Wenn ich ein böser Spammer wäre, würde ich jetzt ja ganz schnell einen Dienst machen, bei dem man sich mit seinem Zwitscherding-Konto anmelden kann.
-
Nachtwächter
Nicht mal bei den Banken sind Daten sicher. Datenschleuder des Tages ist die Citigroup, denn bei deren Website reichte es, einfach mal andere Parameter in der URI anzugeben, und schon sah man die Dinge, die man gar nicht sehen können sollte. Vielleicht sollte man die eh schon nicht besonders sympathische Bank einmal fragen, was denn eigentlich die Entwickler des Internetauftritts von Beruf sind.
-
Nachtwächter
(Mögliche) Datenschleuder des Tages: Die Schufa.
-
Nachtwächter
Wer den Schaden hat, spottet jeder Beschreibung: Has Sony been hacked this week? [via]
-
Nachtwächter
Den ganzen Unsinn um irgendwelche Äpps auf irgendwelchen Händis kann man ja gar nicht genug brandmarken, auch wenn diesmal Ändräut seine Malware direkt von Guhgell aus dem Äpp-Market-Ding runtergeholt hat.
-
Nachtwächter
Und wieder zeigt eine richtig große Internet-Datenschleuder, dass eine renommierte Firmierung noch lange kein Grund ist, dem Laden irgendwelche Daten anzuvertrauen. Heute macht es Neckermann möglich, sportliche 1,2 Millionen Datensätze mit zurzeit unveröffentlichten Datenmerkmalen mitzunehmen – ein gefundenes Fressen für die Spam- und Phishing-Mafia. Die Mailadressen waren nämlich dabei, wie die ersten Spamwellen zeigen. Die Frage, warum diese Daten überhaupt über das Internet abgreifbar waren, obwohl doch jedem auch nur halbgebildeten Admin klar sein müsste, dass jeder Rechner am Internet immer ein Opferrechner ist, wird natürlich nicht von Neckermann beantwortet. Warum sollten sie dort auch sorgsam mit den Daten umgehen, die ihnen von ihren Kunden anvertraut werden. Das wäre doch einfach zu viel Aufwand…
Genau so, wie es zuviel Aufwand gewesen wäre, wenn die Kunden sofort informiert worden wären. Da kann man sich auch ruhig mal vier Tage Zeit zwischen Entdeckung des erfolgreichen Angriffes und einer Mitteilung an die betroffenen Kunden lassen. Aber dafür werden die
LügnerPR-Hanseln und Pressesprecher von Neckermann bestimmt auch eine wohlklingende Erklärung finden. Jetzt haben die ja schon das nebulöse Wort vom »Neben-System« gefunden, das betroffen gewesen sein soll – was für ein Bullshit!Nachtrag: Apropos Bullshit, »neckermann.de ist Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Durch die aktive Zusammenarbeit und die ständige Optimierung aller technischen Sicherheitsgrundlagen verbessern wir fortwährend unsere Datensicherheit« – kann man sich gar nicht ausdenken, so eine gequirlte Scheiße, die so richtig gar nichts sagt, aber doch wenigstens nach etwas klingt. In den letzten Jahren scheint die »aktive Zusammenarbeit« und »ständige Optimierung« der »Sicherheitsgrundlagen« (WTF?!) nicht so viel Verbesserung gebracht zu haben, dass man von Datensicherheit sprechen könnte.
-
Nachtwächter
Security-Fail des Tages: Klartext-Passwörter in der Datenbank.