Fragen? Antworten! Siehe auch: Alternativlos
Mir persönlich erschließt sich ja nicht, wieso Destatis überhaupt Geld nehmen darf, denn das ist das Statistische Bundesamt. Das ist eine Bundesbehörde. Die kriegen einen riesigen Sack Steuergelder für ihre Arbeit.
Nun, jetzt kennt man Destatis auch für einen Datenreichtum der Daten deutscher Unternehmen. Die haben ein paar Hacker da rausgetragen und verkloppen die jetzt im Darknet. Money Quote:
Ob es sich bei Indohaxsec um eine staatlich finanzierte Gruppierung handelt, ist fraglich. Bei den betroffenen Unternehmen und Behörden fehlt ein eindeutiges Muster. So wurden etwa eine ungarische Kirchgemeinde, eine ukrainische Gärtnerei genauso angegriffen wie eine indische Hochschule. Vermutlich sucht Indohaxsec seine Ziele nicht strategisch aus, sondern dringt dort ein, wo Systeme schlecht gesichert sind. Und ab und zu trifft es auch deutsche Behörden.Destatis operierte auf dem Security-Niveau einer ukrainischen Gärtnerei! Besser hätte ich das auch nicht auf den Punkt bringen können.
Update: Oooooh, sorry, ich habe Destatis mit Statista verwechselt. Destatis ist die Bundesbehörde und hatte den Datenreichtum aber die mit der Google-Infektion und Paywall-Scheiße ist Statista, eine Firma der Ströer-Gruppe. (Danke, Michael)
Ein 54-Jähriger soll als Systemadministrator der Stadt Dresden abertausende Dateien und personenbezogene Daten von 430.000 Bürgern auf privaten Speichergeräten gesichert haben.Hey, vielleicht hatte die Verwaltung nicht genug Geld für den Kauf von Speichermedien und der Mann wollte bloß helfen! (Danke, Hans)
"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!! (Danke, Mark)
Ist eigentlich peinlich, dass ich das überhaupt sagen muss. Fällt das außer mir niemandem auf?! Bin ich der einzige, der sieht, dass die Milliarden alle wirkungslos verpuffen und wir immer noch ständig überall von dahingerotzter Ransomware Datenreichtum kriegen?!
Man muss auch dafür sorgen, dass wenn es jemandem gelingt, meinen Prozess zu übernehmen, dass der dann so wenig Zugriff wie möglich hat. Am besten ist er nach dem Angriff genau so weit wie er vor dem Angriff war, von den Zugriffsmöglichkeiten her.
Das ist nicht nur in der IT-Security so. Auch in der Politik ist das so. Wenn du dir Sorgen machst, dass die Nazis die Macht übernehmen könnten, dann musst du vorher dafür sorgen, dass so viele Checks and Balances installiert sind, dass die nichts damit anfangen können, wenn sie es in den Händen haben.
Das ist nun echt keine Raketenchirurgie, aber was tut die Ampel? Das glatte Gegenteil! Dafür sorgen, dass die Nazis einen schlüsselfertigen Überwachungs- und Unterdrückungsstaat in die Hände kriegen, mit mehr Möglichkeiten als jede Diktatur auf deutschem Boden vor ihm.
Zumindest gefühlt auch als die meisten Diktaturen im Ausland. Kennt hier jemand einen Rechtswissenschaftler, der mal eine vergleichende Studie machen möchte? Zwei Vergleiche liegen nahe, finde ich. Erstens: Hat unsere Polizei Befugnisse, die wir in der Vergangenheit Diktaturen vorgeworfen haben? Zweitens: Hat unsere Polizei Befugnisse, die über die der Polizei in notorischen Diktatoren hinausgehen?
Abgesehen davon ist das schon nicht völlig doof, noch schnell die CDU oder die SPD zu wählen. Der Schuldenberg und die Trümmerruine, den die hinterlassen, da kriegen die Nazis 10 Jahre lang keinen Fuß auf den Boden, weil sie erstmal Straßen, Brücken und Gleise renovieren müssen.
Schade nur, dass die in genau die beiden Dinge investiert haben, von denen wir nicht wollen, dass die Nazis sie haben. Armee und Unterdrückungsstaat.
Insgesamt muss ich sagen, dass ich überrascht bin, wie seriöse diese E-Mail rüberkommt. Keine Spur von "Angreifer" oder "kriminelle Energie".
We are currently dealing with an ongoing cyber security incident. The security of our systems and customer data is very important to us, and we have taken immediate action to protect our systems.We identified some suspicious activity on Sunday 1 September and took action to limit access. We are conducting a thorough investigation into the incident, alongside the National Crime Agency and the National Cyber Security Centre.
Although there has been very little impact on our customers so far, the situation is evolving and our investigations have identified that certain customer data has been accessed. This includes some customer names and contact details, including email addresses and home addresses where provided.
Some Oyster card refund data may have also been accessed. This could include bank account numbers and sort codes for a limited number of customers (around 5,000).
Dann noch ein paar Sätze, welche Dienste gerade nicht verfügbar sind, weil abgeschaltet, und eine Notiz, dass sie sich nochmal melden werden, wenn sich herausstellt, dass du persönlich betroffen bist.Ich muss sagen: Hut ab! So muss das sein! Sie erwähnen in der Mitte die Behörden, die sie eingeschaltet haben, das ist aus meiner Sicht der einzige ein bisschen negative Punkt, aber die Art, wie sie es tun, geht noch klar, finde ich.
Insbesondere finde ich hervorhebenswert, wie wenig Opfergetue sie da verbreiten. 100 Punkte, TfL! Sehr gut!
Bundesamt für Verfassungsschutz und Bitkom fordern stärkere CybersicherheitNa das sind ja genau die richtigen!
Der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz sehen Deutschlands Wirtschaft akut bedroht und erachten Expertise im eigenen Land notwendig.Bitkom, wir erinnern uns, hat gegen das Verbot von Datenhandel lobbyiert, weil es ja Bürger gebe, die mit Werbung zugespammt werden wollen. Bitkom hat auch argumentiert, DE-Mail brauche keine Ende-zu-Ende-Verschlüsselung, weil das ja ein "extremes Sicherheitsniveau" wäre, das brauche doch kaum jemand. Bitkom feierte auch Politiker, die weniger Datenschutz und mehr Datenreichtum forderten. Bitkom fand nicht, dass man Mindest-Security per Regulator vorschreiben muss, sondern forderte mehr Meldepflichten (wissenschon, Datenreichtum!). Was für ein Clown-Laden Bitkom ist, sieht man ganz gut an folgender Veranstaltung:
AI & Data Summit and Quantum Summit will take place on 25 and 26 September 2024 live at Kosmos Berlin.Mir fällt nur schwer jemand ein, den man noch weniger ernst nehmen kann als die.Außer, natürlich, den Verfassungsschutz. Diese Organisation wollte uns Trojaner auf den Endgeräte spielen, und dafür Exploits kaufen. Das ist echt nicht zu fassen, dass ausgerechnet diese beiden Player jetzt so tun, als seien sie an mehr Cybersicherheit interessiert.
Bleibt nur noch eine offene Frage. Sind die nur böswillig oder auch bestürzend inkompetent und uninformiert? Hier ist ein Hinweis:
Die Professionalisierung der Angreifer bereitet dem Verfassungsschutz große Sorgen. "Zero-Day-Schwachstellen spielen eine ganz zentrale Rolle", warnte Selen, das BfV beobachte eine Industrialisierung der Angreifer.Nein. Tun sie nicht. Eine Lücke ist nicht Zero-Day, nur weil du Klappspaten den Patch noch nicht ausgerollt hast. Eine Lücke ist Zero-Day, wenn es keinen Patch gab, den du hättest ausrollen können.
Der Bitkom vertritt übrigens Firmen wie Microsoft, Amazon und SAP. Daher werden die nie empfehlen, dass man Windows rauskantet und nicht in die Cloud zieht. Stattdessen kolportieren sie tolle Ideen wie diese hier:
Die Trennung etwa von SAP-Systemen eines Konzerns zwischen deutschen und chinesischen Standorten sei betriebswirtschaftlich eigentlich nicht sinnvoll, aber notwendig, solange es keine Alternativen gebe. Diese Restrukturierung entlang der Supply Chain finde aber zunehmend statt.Was heißt hier Problem? Profit-Gelegenheit für SAP!
Das ist alles so eine Farce!
Und die Details sind alle genau so, wie ihr euch jetzt eine Gruppe tumber Nazis bei der Arbeit ausmalt. Die benennen ihre Partei um und denken, damit die Staatsanwaltschaft ausmanövriert zu haben. Paar Pseudonyme und schwupps! Wir sind sicher!!1!
Update: Falls ihr mal selber gucken wollt: Das PDF scheint bei Bittorrent downloadbar zu sein. Das muss dieser Datenreichtum sein, von dem sie uns immer erzählt haben!
Gestern so: Twilio-Datenreichtum, 8TB Logdaten bei Dienstleister entfleucht.
Heute so: Twilio-Führungskräfte stoßen ihre Aktien ab. Money Quote:
Die Transaktionen erregen dabei besonderes Interesse der Investoren und Marktbeobachter, da sie oft als Indikator für das Vertrauen der Führungsebene in die Zukunftsaussichten des Unternehmens angesehen werden.Ich verstehe nicht, wieso die sich Sorgen machen. Ihre Kunden waren so blöd, überhaupt zu ihnen zu kommen, ohne irgendwas zu verifizieren und obwohl Twilio schon Datenreichtümer hatte. Die Schafherde wird da auch weiter kaufen.
Und wenn das nächste Mal Daten wegkommen, werden wieder alle von der enormen kriminellen Energie der bösen APT-Russen schwafeln und keiner wird sich verantwortlich fühlen.
Wenn ihr mich fragt, haben sich die Player hier alle gegenseitig verdient.
Immer wenn du denkst, OpenAI hat den Boden erreicht in Sachen Schmierigkeit und Unseriosität, dann kommt sowas.
Hey, deren "KI" willst du doch deine Daten anvertrauen!1!!
Ein Mitarbeiter von Microsoft hat offenbar am 11. Juni 2024 versehentlich internen Quellcode von Microsofts DRM-Lösung Playready in der Microsoft Developer Community veröffentlicht.Nicht was ihr jetzt denkt. Versehentlich ein paar Zeilen Code gepastet oder so. Nein. Ein 700MB-Anhang. Inklusive Warbird (deren Code-Obfuscator).
Aus dem haben Leute dann erfolgreich die Library selbst gebaut.
Einmal mit Profis arbeiten.
Ach DAS meinten die mit Technologieoffenheit!
Ich fände ja richtig geil, wenn jemand mit den Daten der CDU eine "KI" trainieren würde. Weil das haben die ja auch immer als wünschenswerte Zukunft gepredigt. Datenreichtum für KI-Training!
1. What are the suspect IP addresses used by threat actors to exploit the vulnerability? Und DAS, meine Damen und Herren, ist, was mit der IT-Security-Branche falsch läuft.Aber ich will man nicht vorgreifen. Klickt da mal drauf. Klappt das mal auf. Staunt über die Länge der Liste der gefährlichen IP-Adressen, die sie da gesammelt haben. Achtet darauf, dass das nicht nur IP-Adressen sondern teilweise ganze Netze sind, bis hoch zu /20 (also 4096 IPs!).
Wenn ich das sehe, höre ich direkt vor meinem geistigen Ohr:
Cheffe, ich hab die IPs alle blockiert!
Gute Arbeit, Dombrowski! Dann müssen wir ja den Patch nicht einspielen.
Hey, immerhin tun sie dieses eine Mal, was sie vorher gepredigt haben.
Und, liebe CDU? Geht es der Wirtschaft schon besser?
Nicht?
Tja dann solltet ihr aber schnellstmöglich von enormer krimineller Energie faseln und das BSI einschalten! Die werden euch innerhalb von nur weniger Geschäftstage hilfreich ein paar Checklisten überlassen.
Das war aber SOWAS von an der Zeit, dass aus dieser Verbrecherindustrie mal jemand einen fetten Datenreichtum rausträgt. Da warte ich seit Jahrzehnten drauf!
There is a small silver lining, according to the VX team: "The database DOES NOT contain information from individuals who use data opt-out services. Every person who used some sort of data opt-out service was not present." So, we guess this is a good lesson in opting out.
Santander has apologised for what it says is "the concern this will understandably cause" adding it is "proactively contacting affected customers and employees directly."Oh, gut. Dann ist ja alles geklärt.
As new data regulations create a guide for better consumer data privacy practices, and Gen AI transforms how we discover things online, Visa believes that payment data has a role to play in delivering these new and improved experiencesWenn jemand von transform redet und es so klingen lässt, als wollten sie die Privatsphäre stärken, dann sollten direkt alle Warnlampen angehen. Das ist nur noch zu toppen, wenn derjenige dann auch noch "empower" sagt. - and that consumers should be empowered to have more control too.Oh yeah!Wie haben wir uns das vorzustellen?
Visa data tokens let consumers, whose financial institution participates in the program, consent to sharing their data as they shop online, then see where it’s been shared and revoke access right from their banking app.Das wird natürlich niemand machen, weil die Shops dem Kunden ins Gesicht lügen werden, dass sie Rabatte kriegen, wenn sie einwilligen.With data tokens, Visa and participating banks can enable an experience where a merchant can request consent from the consumer to get more personalized offers as they shop. If the consumer agrees, behind-the-scenes, Visa issues a private data token to the merchant complete with AI-generated insights based on the consumer’s transaction data.Die versuchen, beide Seiten zu verarschen! LOL! Deine Daten greifen sie ab und tun so, als könntest du beeinflussen, wer die sieht (Datenreichtum, ick hör dir trapsen!), und dem Shopbetreiber geben sie irgendwelchen minderwertigen KI-Ausfluss. Für die richtigen Daten wird sich sicher später ein Premium-Dienstleister-Abomodell finden!1!!
War auch Zeit, finde ich. Nie war jemand Schuld, das war immer schlechtes Wetter und hochgradig kriminelle Energie von kriminellen Kriminellen. Höchste Zeit, dass der EuGH da mal Tacheles redet.
Hat er aber nicht. Es ging zwar ganz vielversprechend an:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellenAber hier ist der Fall, um den es ging: In Bulgarien hatte das Finanzamt Besuch einer Ransomware-Gang und danach tauchten die personenbezogenen Daten der Bürger in einschlägigen Darkweb-Verkaufsstellen auf.
Daraufhin hatten mehrere Bürger geklagt und das oberste Verwaltungsgericht Bulgariens hat den EuGH gefragt, ob die Bürger jetzt nachweisen müssen, dass die Daten wirklich vom Finanzamt kamen, dass das Finanzamt da ihre Security verkackt hat, und ob da weitergehender Schaden entstanden ist (Identitätsdiebstahl o.ä.).
Die Frage hätte sich mir gar nicht gestellt. Wenn jemand im Darkweb einen Finanzamts-Datenreichtum verhökert, und da sind meine Daten drin, dann hätte sich mir die Frage gar nicht gestellt, ob das Finanzamt Schuld ist. Wer denn bitte sonst?!
Der EuGH sagt jetzt: Das Finanzamt kann nicht einfach behaupten, sie hätten alles richtig gemacht, und das sei schlechtes Wetter gewesen. Und du als Betroffener musst nicht nachweisen, dass jemand mit den Daten im Darkweb bei dir Schaden angerichtet hat.
Auf der anderen Seite sagt das Gericht aber auch, dass alleine aus der Tatsache, dass die Daten veröffentlicht wurden, nicht geschlossen werden kann, dass die Schutzmaßnahmen ungeeignet waren. Das müsse im Einzelfall geklärt werden.
In der Praxis wird das Finanzamt dann auf ihr Schlangenöl zeigen und sagen:
WiR hABeN aLleS GeTAn!1!!
Ja ist ja komisch! Ist ja fast als wäre Code Signing bloß Schlangenöl!?
Also das ist ja wohl mal ein klarer Fall, wo wir jemanden gebraucht hätten, der uns da rechtzeitig warnt!
Ist doch immer dasselbe. Es wurden schon alle Fehler gemacht, nur noch nicht von jedem. Erfahrung ist, wenn du die Fehler wiedererkennst, die du machst.
Ihr werdet euch schon denken, dass man auch ein Lösegeld hätte zahlen können. Aber warum sollte man? Den Schaden haben ja andere Menschen, nicht die Polizisten. Die Polizei hat die betroffenen Rechner abgeschaltet und neue Passwörter verteilt und "die zuständigen Behörden kontaktiert". Damit war aus ihrer Sicht alles geklärt.
Insgesamt haben die eine halbe Million Datensätze rausgetragen, aber das war offenbar keine typische Ransomware-Gruppe, die alles mitnimmt, was sie kriegen kann, sondern die haben gezielt nach Amtsträgern und Promis gesucht.
Bisher gibt es anscheinend keine Lösegeldforderungen oder so und man weiß auch noch nicht, wer das gewesen sein könnte. Aber jetzt sind natürlich alle sehr besorgt, klar. (Danke, Daniel)
Absolut zum kotzen und an Unseriosität kaum zu toppen, finde ich.
Aber gelegentlich kommt so eine Meldung vorbei, die ich widerwillig trotzdem verlinke. Hier ist so eine. Aber lest die lieber nicht, lest lieber Microsofts Version davon. Sie haben irgendeinen RIESIGEN DATENREICHTUM gefunden, und zwar in Azure.
Gähn, denkt ihr euch jetzt vielleicht. Aber wartet.
Die Daten kommen diesmal von Microsoft selbst, nicht von irgendwelchen unachtsamen Azure-Kunden.
Das wäre ja schon ein Paukenschlag, denn das gesamte Geschäftsmodell von Cloudanbietern basiert ja darauf, dass ihr denen glaubt, dass sie besser auf ihre Daten aufpassen als ihre es gekonnt hättet. Naive IT-Verantwortliche glauben ihnen das dann vielleicht sogar, bis jemand den Gegenbeweis antritt.
Das ist hiermit geschehen.
Oh, was sagt ihr? Ihr seid schon so tief in die Lock-In-Falle gelaufen, dass ihr gar nicht mehr weg könnt jetzt? Tsja. Hättet ihr mal auf jemanden gehört, der euch rechtzeitig gewarnt hat.
Hold my beer, ruft da die EU! Wieso auf Cyberangriffe warten, wenn man auch direkt alles abschnorcheln kann:
"Generell darf die Identität von Zahlenden und Zahlungsempfängern weder der Zentralbank noch zwischengeschalteten Dritten, die nicht an der Transaktion beteiligt sind, offengelegt werden", Ausnahmen sollen auf Basis des EU-Rechts aber möglich sein. "Ein digitaler Euro müsste alle erforderlichen rechtlichen Anforderungen erfüllen, um eine wirksame Bekämpfung der Geldwäsche und der Terrorismusfinanzierung sowie die Einhaltung von Finanzsanktionen und Steuervorschriften zu gewährleisten", betonen Deutschland und die anderen Länder zugleich.Ist also wie Bargeld. Wo die ganze Zeit jemand mit einer Kamera hinter dir steht und alles mitfilmt.
Wohlgemerkt: Auch zukünftige rechtliche Anforderungen, versteht sich. Nicht nur aktuelle. Das ist ja bei Protokollen immer ein bisschen schwierig, besonders wenn es sich um an sich gutmeinende Kryptoprotokolle handelt, die mit dem Ziel entwickelt wurden, keine Daten rumliegen zu lassen.
Daher lese ich diese Meldung als Hinweis an Bewerber um die Implementation des digitalen Euro. Wenn das nicht flexibel genug ist, um auf Zuruf alles zu loggen, dann braucht ihr euch gar nicht zu bewerben.
Na sowas. Wenn man Firmen, die es nicht brauchen, seine E-Mail-Adresse oder seine Telefonnummer gibt, dann kommt das irgendwann weg? NA SOWAS!
Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.Update: Oh, mir fällt gerade auf, dass ich da voll an dem offensichtlichen Witz vorbeigelaufen bin. „Alle 100 betroffenen User wurden informiert.“ oder so :-)
(Der Rest waren Bots)
Sportlich!
Von dem Recyclinghof wollten sie, dass man da nur als Einwohner der Kommune seinen Müll abgeben kann.
Also haben sie ein IT-System gebaut. Da kann man eine "BadenCard" bestellen und jährlich Abogebühren zahlen (klar, so eine IT-Infrastruktur kostet Geld!!1!).
Das ist jetzt alles nicht weiter vom Hocker hauend, würde man denken, bis man die Details liest. Der Datenreichtum war nicht etwa die Datei der Abonnenten dort. Nein. Der Datenreichtum war eine Datenbank mit den Daten aller Einwohner.
Sie hießt "meldeamt.dbf".
Warte mal, dbf? Ist das nicht … D-Base? Aus den 1980ern? MS-DOS? Ja, genau!
Oh und die Datei war tagesaktuell, wird also offensichtlich automatisiert dort hochgeladen.
Was macht man, wenn man sowas findet? Man teilt es dem zuständigen Datenschutzbeauftragten mit. Was macht der damit? Na nix! Denn:
Auch auf die Frage, welche Konsequenzen die folgenschwere Nachlässigkeit für die Stadtverwaltung haben würde, antwortete der Sprecher: "Eine Verhängung von Verwaltungsstrafen gegen Behörden ist in Österreich durch § 30 Abs. 5 DSG ausgeschlossen."*Aktezuklapp*
Vielleicht hätte Godaddy in ordentliche Produkte investieren sollen statt in Superbowl-Werbespots.
Auf der nach oben offenen Bullshit-Bingo-Skala fehlt da nur noch "kriminelle Energie" und dass man mit Hochdruck daran arbeite.
Wenn ich mal einen Tipp abgeben sollte, so aus der Ferne, ohne jeden Feindkontakt: Windows + Office + AD?
Wieso fragt eigentlich nie jemand vorher einen qualifizierten Dienstleister? Wieso ist immer erst nachher Geld dafür Response-PR? Vorher machen alle bloß sinnloses BSI-Compliance-Theater.
Ja, das Response-Zeug ist PR. You heard me. Alles, was da zu erwarten ist, ist: "Die waren technisch aber SUPER FIT, die Angreifer!!1!" und "also gegen SOVIEL kriminelle Energie hätte man auch nichts machen können!1!!"
Dann noch ein paar belanglose Indizien, dass es DIE RUSSEN!1!! waren.
Und natürlich interne Erkenntnisse, die man nicht rausgibt. Dass auch Daten weggekommen sind, von deren die Kunden nicht wussten, dass man die hat. Daten, die man eigentlich schon längst hätte löschen wollen, aber da lag noch ein Backup rum. Nichts davon hilft bei der Abwehr der nächsten Ransomware-Iteration.
Dafür müsste man Windows, Office und AD abschaffen.
Die personenbezogenen Daten von 500.000 Menschen aus Moskau und Umgebung werden im Darknet und auf Telegram-Kanälen zum Kauf angeboten. Die Datensätze beinhalten Ausweisdaten, Sozialversicherungsnummern, Telefonnummern und Adresse. Zuvor hatten sich alle in den Datensätzen befindlichen Personen ein gefälschtes Impfzertifikat beziehungsweise einen gefälschten PCR-Test ausstellen lassenOb da die Russen gehackt haben? Damit nicht der Eindruck entsteht, bei Kriminellen seien eure Daten sicherer als beim Staat?
Das hat bestimmt auch deutlich mehr Abschreckungswirkung als wenn sie da zwei-drei Aussteller von gefälschten Zertifikaten einknasten.
Mediamarkt-Saturn hatte gerade eine außerplanmäßige Datenschutzmaßnahme. Dabei hatten die so tolle Pläne!
HODL!!1!
Datenreichtum!!
“You are in our prayers today. We are grateful for your support and prayer. When situations arise where individuals might not have honorable intentions, I pray for them,” Monster added. “I believe that what the enemy intends for evil, God invariably transforms into good.”Wer ist EPIK? Nie gehört?Nun, das ist einer dieser schleimigen "Free Speech"-Hoster in den USA, der den Stein anbietet, unter dem sich die ganzen Reichsbürger, Antivaxxer, QAnons und Trumpisten verkriechen können.
Deren Dienstleistung ist im Wesentlichen, dass sie den echten Namen der Domain-Eigentümer nicht verraten.
Jetzt sind sie aber gehackt worden, und die Ergebnisse sind ... naja, sagen wir so. Diese Art von Digitalisierungskompetenz würde man ansonsten bei der CDU vermuten.
“They are fully compromised end-to-end,” they said. “Maybe the worst I’ve ever seen in my 20-year career.”The engineer pointed the Daily Dot to what they described as Epik’s “entire primary database,” which contains hosting account usernames and passwords, SSH keys, and even some credit card numbers—all stored in plaintext.
Ach naja komm, cancelst du halt die Kreditkarte und erzeugst neue SSH-Keys!The data also includes Auth-Codes, passcodes that are needed to transfer a domain name between registrars. The engineer stated that with all the data in the leak, which also included admin passwords for WordPress logins, any attacker could easily take over the websites of countless Epik customers.Äh, ja, ... das ist schon ein größeres Problem für Epik-Kunden.Der ganze Datenreichtum bereichert jetzt als Torrent-Datei das Internet.
Gut, viel mehr als Beten und auf eine göttliche Intervention hoffen bleibt dem CEO da jetzt auch gar nicht.
Mich belustigt ja die Ironie, dass die Deppen, die bei Covid lieber an einen unsichtbaren Mann im Himmel als an die Wissenschaft glauben, dass die dann bei einem Typen hosten, der auch lieber an einen unsichtbaren Mann im Himmel glaubt als an ordentliche Arbeit.
Die Einzigen in diesem ganzen Kuhfladen, die an ordentliche Arbeit glauben, sind die Zahlungsdienstleister :-)
Nein, nein, wir sind die Regierung! Wir wissen, wie man Daten sicher ablegt! UNS könnt ihr vertrauen!!1!
Wenn wir bei euch Massenüberwachung machen und Trojaner einbauen und Daten abschnorcheln, dann sind die voll sicher bei uns!1!!
Oh und erwähnten wir, dass eure Gesundheitsdaten endlich mal digitalisiert werden sollten? Und wir euren Fingerabdruck in unserer IT brauchen?
Diesmal 700 Mio Datensätze, 200 Mio mehr als letztes Mal.
War mal wieder Scraping. Verstehe nicht, wieso die Leute das wundert. Das ist ja gerade die Funktion von Linkedin, dass die Daten dort veröffentlicht werden, damit potentielle Kontakte sie finden können.
Ich persönlich hab ja noch nie verstanden, wieso man sowas braucht. Ich hatte noch nie das Gefühl, von zu wenig Spammern angeschrieben zu werden, und da nachhelfen zu müssen.
New hotness: Linkedin-Datenreichtum, 500 Mio Datensätze!
Scheiße, Bernd! Wer hätte das gedacht! Wenn du deine Daten im Internet irgendwelchen Webseiten gibst, dann landen die in Datenbanken?! Hätte uns doch nur jemand gewarnt!!1!
Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.
Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein.
Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.
Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.
Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.
Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?
Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.
Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.
Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.
Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.
Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!
Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.
Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?
Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!
Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.
Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.
Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?
Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
Na sowas.
Sic transit gloria mundi.
Update: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
Update: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.
Ich bin mir sicher, wenn da jemand mit Millionen an Projektmitteln gewunken hätte, hätte sich Facebook da auch schnell irgendeinen PR-Bullshit über 5 Blockchains aus dem Arsch gezogen gekriegt.
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar.Will sich da etwa das Bildungsministerium an Spahn und Scheuer vorbeimogeln?
Unbefugte haben nach einem Medienbericht 150.000 Überwachungskameras einer US-Firma unter anderem in Krankenhäusern, Gefängnissen, Schulen und Polizeirevieren angezapftSie sagen wohl, sie hätten das Passwort im Internet gefunden.
Da fände ich ja weniger interessant, wo sie das gefunden haben, sondern wieso es "das Passwort" gibt und damit kommt man dann überall rein.
Betroffen sind Unternehmen wie der Elektroauto-Hersteller Tesla und die IT-Sicherheitsfirma Cloudflare.Der Hersteller ist wohl dieses Startup hier. Hätten sie mal ihre Kohle in tatsächliche Security investiert statt in Hochglanz-Webseiten. Deren Slogan ist jedenfalls nicht gut gealtert:
By approaching safety with a software-first approach, we’re making security as seamless and modern as the organizations we protect.Software-first approach, ja? Im Hintergrund hört man ein heiseres Wyle E Coyote Lachen.
From the samples of the database seen by BleepingComputer, the data exposed can include full names, email addresses, phone numbers, IP addresses, and hashed passwords.Größer Lacher an der ganzen Geschichte:In what should be a model of transparency, Ticketcounter CEO Sjoerd Bakker has told BleepingComputer that they copied a database to a Microsoft Azure server to test an 'anonymization process' that replaces personal data with fake data.*Monster-Facepalm*Betroffen sind unter anderem 400.000 Gäste vom Berliner Zoo und Tierpark.
Oh und wo wir gerade bei Datenreichtümern waren: Bei der Star Alliance hat jemand die Vielfliegerdaten rausgetragen.
Gab ist einer dieser "Free Speech" Social Network-Schnellschüsse, die wie Pilze aus dem Boden schossen, als die ganzen von Deplatformern rausgeworfenen Leute neue Plattformen brauchten.
Der Dump wurde offenbar per SQL Injection erlangt und beinhaltet nicht nur alle öffentlichen sondern auch die privaten Nachrichten.
Ich finde ja vor allem die Ineffizienz bemerkenswert, mit der die ihre Daten gespeichert haben:
DDoSecrets said that the 70GB GabLeaks contains over 70,000 plaintext messages in more than 19,000 chats by over 15,000 users.Immerhin waren die Passwörter gehasht. Aber 70 GB für 70000 Nachrichten heißt, dass die pro Nachricht 1 MB Speicherplatz brauchten. Das kann ja wohl nicht sein, oder!? Sind das die Telemetriedaten, die da soviel Platz verbraten?
Bei Cloud-Deployments sehe ich häufig so eine Art Assoziationsfehler. Das ist wie wenn man einen Brief voller Grammatik- und Tippfehler dann aber auf hochwertigem Papier ausdruckt, in der Hoffnung, das die Qualität abfärbt. Die Leute schieben stinkenden Scheißcode in die Cloud und malen sich dann aus, dass die angenommene Professionalität der Amazon-Cloud auf die App überspringt. Und in der Tat stinkt das dann ja nicht bei dir im Keller sondern bei Amazon im Rechenzentrum. Es ist viel einfacher, da nicht hinzugucken. Wenn es platzt, dann mietest du halt mehr Server.
So scheint das auch hier gelaufen zu sein.
Verschärfend kommt aber hinzu, dass Parler für die Accountvalidierung verlangt hat, dass man einen Scan einer Photo-ID hochlädt, was in den USA in der Praxis dann der Führerschein ist, der im täglichen Gebrauch eine ähnliche Funktion wie unser Personalausweis erfüllt. Diese ganzen Scans lagen da in der Amazon-Cloud und wurden jetzt von den fiesen Linksextremistenhackerterroristen rausgezogen. So jedenfalls die Gerüchtelage.
Ich kann da nur staunen, muss ich sagen. Dass angebliche Revolutionäre bisher so wenig Kontakt zu repressiven staatlichen Organen hatten, dass sie keine Sorgen dabei haben, irgendwelchen beschissenen Webseiten eine Perso-Kopie auszuhändigen. Und dann da Nachrichten zu posten wie dass der Vizepräsident für seinen Verrat gehenkt werden sollte.
Ich vermute mal, dass diese Daten mehr oder weniger zeitnah bei den Strafverfolgungsbehörden oder dem Secret Service landen werden, die dann entsprechend der Reihe nach die Leute aus dem Verkehr ziehen werden.
This could have included your name, email address, telephone number, billing address, and payment card details (card number, CVC/CVV and expiration date).Eigentlich müsste Warner jetzt direkt aus dem Payment-Verkehr gezogen werden, denn die CVC-Nummern darf man extra nirgendwo speichern, auch nicht zum Debuggen. Wer es doch macht, dem drohen auf dem Papier saftige Strafen. Allerdings passiert in der Praxis natürlich nichts, denn die Payment-Mafia schneidet sich doch nicht den Ast ab, auf dem sie sitzt.Wenn die Contentmafia mal halb so viel Energie in die Sicherung ihrer Infrastruktur investiert hätte wie in Bullshit-"Kopierschutz"-Gängelscheiße für den Krieg gegen ihre Kunden, dann hätten wir das Schlamassel vermeiden können.
Viele Security-Forscher stürzen sich jetzt natürlich drauf, um mal nach Backdoors zu gucken, oder vielleicht nach Wegen, wie man den Secure Boot kaputtmachen kann.
Ich möchte an der Stelle sagen, dass nicht das leaken solcher Daten schlimm ist, sondern dass die vorher geheim waren. Das heißt nämlich, das wir alle unsere IT-Sicherheit von Dingen abhängig machen, die wir nicht kennen und nicht prüfen können. Vielleicht könnte man das ja mal als Anreizs sehen, eine konkurrenzfähige offene Architektur ohne Geheimnisse zu bauen. In Europa am besten. Bzw. eigentlich mit dem Geld von Europa aber nicht in Europa, sonst kommen wieder die Schweine, äh, die Innenminister.
Da zeigt sich ein schöner Kontrast, finde ich. Wenn in deinem Restaurant Hygiene-Verletzungen gefunden werden, wird es zugemacht. Wenn du Kundendaten ins Internet bläst, dann zucken alle mit den Schultern. Softwareproblem. Hackerangriff. Wir sind ja bloß ein kleines Startup (*haarzwirbel* *rehaugen*), da hat ja wohl hoffentlich niemand was erwartet. Auswirkungen: Keine.
Warum eigentlich? Wo bleiben die DSGVO-Millionenstrafen?
Zum Medienkompetenzvergleich nach diesem Faktenbericht jetzt der PR-Spin von A1, den der ORF kritiklos abdruckt. (Danke, Arno)
UpGuard found labels (see below screengrab) in the exposed TVSmiles repository that refer to “seven_pass”: Aka a single sign-on solution for all ProSieben.Sat1’s digital services, called 7Pass.Im Adtech-Sumpf ist ja jeder irgendwie mit jedem anderen verbunden, und sobald du einem deine Daten gibst, ist das wie in den Pool pinkeln. Das kriegst du nie wieder rausgefiltert und bald haben alle Kontakt.Es gab da schon eine Verbindung, die die auch einräumen, aber die war angeblich pseudonymisiert. Wobei sich dann die Frage stellt, wieso da die 7Pass-ID in der Datenbank steht. Das spräche eher gegen eine Pseudonymisierung.
Other personal data found in the repository includes precise location data — “users’ latitude and longitude” — with a related admin view configured for a database named “full device info.Da könnte man sich jetzt Sorgen machen, aber der Einsender kommentiert:Die Hauptgefahr bei diesen Daten ist, daß jemand herausfindet, daß die Daten, die diese Werbefirmen da sammeln zu mehr als 75% ausgedachter Bullshit sind.Und das ist auch nicht völlig von der Hand zu weisen :-)
Die Briten hatten gerade einen Datenreichtum mit Nummernschildscanner-Daten.
In a blunder described as "astonishing and worrying," Sheffield City Council's automatic number-plate recognition (ANPR) system exposed to the internet 8.6 million records of road journeys made by thousands of peopleNaja, eigentlich überhaupt nicht astonishing. Business as usual. Die Daten hingen übrigens einfach so frei im Netz, ohne Login und Passwort.
Bei allem Geheule über die unfassbare Komplexität und die ständigen Lücken in Browsern: Das hier ist noch viel schlimmer.
A massive cache of data which was leaked online [...] shows the voting preferences of a majority of the population.The personal information on some 337,384 people includes names, addresses, ID card details, phone numbers and whether they are considered Labour or Nationalist voters.
The entry ‘1’ indicates that the voter is considered a Labour supporter, while ‘2’ indicates that the voter is inclined towards the Nationalist Party.
Zum Vergleich: Malta hat überhaupt nur knapp 500k Einwohner. Bei der Parlamentswahl 2017 wurden 314.696 Stimmen abgegeben, es gab 341.856 Wahlberechtigte.
Update: Das ist nicht nur ein Hotel übrigens. Denen gehören das MGM Grand, das Bellagio, das Mirage, das Luxor, Manadalay Bay und noch ein paar andere. Gefühlt die Hälfte der Hotels am Strip.
In Israel hat die konservative Partei von Ministerpräsident Benjamin Netanjahu personenbezogene Daten von mehr als 6,4 Millionen wahlberechtigten Staatsbürgern in eine App geladen
Viele dieser Firmen haben ja eine kostenlose Version für Privatgebrauch.
Dazu kommt, dass Schlangenöl ja alle eure SSL-Verbindungen aufbeißt und reinguckt. Wegen der Sicherheit und so.
Sag mal, Fefe, das wären doch für die Werbemafia hochgradig wertvolle Datenschätze, oder?
Bei Avast gab es einen Datenreichtum bei deren Geheimverträgen und daher wissen wir jetzt: Wo ein Trog ist, da kommen die Schweine.
They show that the Avast antivirus program installed on a person's computer collects data, and that Jumpshot repackages it into various different products that are then sold to many of the largest companies in the world.Und weil es so viele Idioten gibt, die sich Schlangenöl installieren, haben die einen enormen Hebel im Markt.Avast claims to have more than 435 million active users per month, and Jumpshot says it has data from 100 million devices.Na? Ihr habt doch sicher alle brav das Kleingedruckte gelesen, bevor ihr das weggeklickt habt, oder?Oder?
Das ist m.W. das erste Mal, dass eine der großen Cloud-Firmen Kundendaten verliert. Also die Firma selber jetzt, nicht ihre Kunden.
Und: Microsoft setzt Elasticsearch ein? Das ist immerhin ein großer Datenbank-Anbieter! Haben die da nichts eigenes?
Die Berliner Polizei hat seit 2013 in ihrem Polizeisystem Poliks nichts mehr gelöscht und wilde Abfragen geduldet, beanstandet die Datenschutzaufsicht.Na wie sollen wir auch KI-Big-Data in der Cloud machen, wenn wir die Daten löschen?!?
Dies betrifft nicht nur Angaben zu Tatverdächtigen, Beschuldigten und Straftätern, sondern auch von anderen Beteiligten wie Zeugen oder Opfern.
Da hat wohl *sonnenbrilleaufsetz* ein Sammler seine Sammlung vervollständigt! (und alle so: YEAH)
Uber allegedly paid $100,000 ransom and had hackers sign NDAs after massive data breach
Da gab es einen Datenreichtum mit 7,5 Mio Kundenkonten-Datensätzen.
Die hatten gerade einen Datenreichtum. Und da es sowas unter 100GB gar nicht mehr in die Presse schafft: Es waren 179GB.
Diesmal nicht MongoDB sondern Elasticsearch.
Und wenn ihr mal raten müsstet, wo die Daten so offen herumlagen? Ja, richtig! In der Cloud!
Klar, das kann man auch ohne Cloud verkacken, aber es passiert irgendwie VIEL seltener.
Die hatten offenbar einen Datenreichtum.
Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.Das ist nicht gut.
Der Anbieter hat sich bisher noch nicht zu dem Vorfall geäußert.Das macht es noch viel schlimmer.
So und jetzt überlegt euch mal: Wenn diese Site es nicht schafft, ihre Daten zu sichern. Wieso sollten wir dann unseren Behörden glauben, dass sie ihre Datenbanken absichern? Bei der Site arbeiten ja offensichtlich Leute, die verstehen, wie Daten geklaut werden, weil sie es selber tun. Und bei denen hängt im Gegensatz zu unseren Behörden die Existenz ihres Lebensunterhalts davon ab, dass nichts geklaut wird.
Und NICHT MAL DIE können das.
Daher habe ich die Situation immer zusammengefasst als: Wir wissen nicht, wie man Daten sicher ablegt.
Und meinte damit nicht pluralis majestatis sondern wir als Gesellschaft. Wir gehen hier gerade mit Daten um wie Marie Curie mit Uran umgegangen ist. Der Unterschied ist, dass wir es besser wissen müssten.
gerade bekomme ich als SPD Mitglied die Mail, wie ich ab Montag online abstimmen kann, wer Vorsitzendef wird. Was werde ich dazu brauchen? Nicht etwa den Login und Passwort, die ich seit Jahren habe.Sieh es positiv! Die SPD rollt Zweifaktorauthentisierung aus!Nein, die zwei Faktoren sind Mitgliedsnummer und Geburtsdatum. Zwei Infos, die jeder im Ortsvereinsvorstand hat, zumindest Kassierer und Vorsitzende.
Und die Mitgliedsnummer war auch noch nie geheim, steht auf dem Adressaufkleber vom Vorwärts... Also kann ich mal direkt für alle im Ort abstimmen. Brauchts keinen Datenreichtum für.
Also dieses Neuland...
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067 Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben! (Danke, Christian)
Wie heißt es so schön? In des tumben Toren Hand ist das beste Werkzeug Tand!
The exposed server contained more than 419 million records over several databases on users across geographies, including 133 million records on U.S.-based Facebook users, 18 million records of users in the U.K., and another with more than 50 million records on users in Vietnam.
Wie gut, dass Deutschland an der Stelle auf mich gehört und auf die überflüssige, riskante und kontraproduktive Speicherung von ... oh warte, das muss ich wohl geträumt haben.
Dabei war das doch schon immer eine auffallend brillante Idee, dass der Staat (oder sonstwer!) Daten über Menschen erhebt, die er nicht braucht!1!! Niemand konnte ahnen, dass die mal geklaut werden könnten!!1! Ich fände ja richtig geil, wenn die EU jetzt eine Milliardenstrafe gegen die USA verhängt. Wegen Datenschutzverletzung.
The personal information for as many as 12 million patients might have been affected by the breach at Quest Diagnostics, which provides blood testing services for half the hospitals in the U.S.
Protokolle wie die von Citrix und Remote Desktop sind hochkomplex und die Implementationen müssen daher schon von der Statistik her praktisch zwangsläufig noch üble Sicherheitsbugs haben, bei der Codemenge, die man für eine Implementation braucht. Auch von "wir haben zentrale Terminalserver", die nur innerhalb der Firma zugreifbar sind, würde ich aus dieser Überlegung heraus eher abraten.
On the data website, the hackers included an email address to contact them. That email is also the contact address for at least one previous ransomware campaign.Jetzt stellt sich natürlich die Frage, ob die da auch über Ransomware reingekommen sind, oder ob das ein "richtiger" Angriff war.
Oder ist MongoDB eher sowas wie McKinsey, die ja heldenhaft bei dem Bundeswehr-Sanierungsprojekt soviel Geld aus dem System saugen, dass für den Sanierungsteil nichts mehr übrig bleibt und schon am Erhalt gekürzt werden muss? MongoDB ist ja sowas wie der personifizierte Datenreichtum. Wie McKinsey haben sie die Leute überredet, dass sie das auch können, und prompt verkacken die alles nach Strich und Faden.
Die Wahrheit liegt wahrscheinlich in der Mitte :-)
Due a to a misconfigured server, a researcher found a constant stream of Elsevier users’ passwords.
The hack turned from "probably bad" to "bad" the next month, in November, when investigators found that the hackers had been active on Starwood's IT network since July 2014, long before Marriott's acquisition.Das ist leider ein ziemlich typischer Zeitrahmen bei sowas.
Indien hatte gerade mal wieder ein paar Millioen Aadhaar-Datensätze als Datenreichtum. Aadhaar ist deren völlig verkacktes Datenbankprojekt. Menschen sterben an Durchfall und Schlangenbissen, und die Regierung investiert erstmal in eine Datenbank. Ja nee, klar.
Safer Internet Day: Barley will Gewinne aus Datenmissbrauch abschöpfenDie Überschrift trügt aber, denn es geht im Kern um die Einführung von Produkthaftung.
Ziel sei es, ein "eigenes Kennzeichen" in Form einer Art Gütesiegel für sichere IT-Produkte zu schaffen. Die einzuhaltenden Standards sollen über die gesetzlichen Mindestverpflichtungen hinausgehen und eine "mehrjährige Update-Verpflichtung des Herstellers" enthalten.Da war sie gut beraten! Ein Prüfsiegel mit verpflichtender Update-Policy sind Kernideen des CCC.
Oh und sie bringt Produkthaftung für unsichere Produkte ins Gespräch. Wenn sie demnächst einen bedauerlichen Autounfall hat, dann wisst ihr, was passiert ist.
The HIV-positive status of 14,200 people, as well as their identification numbers and contact details, has been leaked online, authorities in Singapore said Monday.Aber macht euch keine Sorgen, dem Gesundheitsministerium tut es rückblickend ein bisschen leid.Daten sind die Ölpest des 21. Jahrhunderts, wie neulich ein Leser so treffend kommentierte.
Durch einen Fehler von Amazon.de fielen rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten.Hey, da gehst du doch los und kaufst dir auch so ein Gerät!1!! Wenn der Hersteller so vertrauenswürdig ist?
Update: Übrigens, nur damit das klar ist: Das Problem hier ist nicht, dass die Aufzeichungen in falsche Hände gerieten. Das Problem ist, dass es überhaupt Aufzeichnungen gab. Amazon sagt ja, das Audio geht zur Stimmerkennung in die Cloud. Von Aufzeichnungen stand da nichts.
Update: Einige Leser weisen darauf hin, dass das so nicht stlimmt. Amazon ist (oder zumindest war) ziemlich deutlich darüber, dass sie aufzeichnen. Dann verstehe ich umso weniger, wieso Leute das jemals gekauft haben.
players reported Wednesday that they inadvertently gained access to the support tickets of fellow Fallout 76 players.Not only did other gamers gain access to these tickets, they were able to see personal information such as addresses, phone numbers and credit card information.
Sie konnten sogar die Tickets anderer Leute schließen.Update: Bethesda macht Schadensbegrenzung mit einem überspezifischen Dementi:
but no full credit card numbers or passwords were disclosed.
Das üben wir aber nochmal, Bethesda.
On November 19, 2018, the investigation determined that there was unauthorized access to the database, which contained guest information relating to reservations at Starwood properties* on or before September 10, 2018.
Angeblich gingen da Mails raus, dass der Name versehentlich auf der Webseite angezeigt wurde, und die E-Mail-Adresse wohl. Aber immerhin sonst nichts.
Update: Hier gibt es was.
Nein, kein Scherz. Einige von euch benutzen Google+. Tut nicht so, als sei es nicht so!1!!
Nun, die hatten da einen Datenreichtum.
It said a bug in its software meant information that people believed was private had been accessible by third parties.Google said up to 500,000 users had been affected.
Also … alle? Jeder zweimal? :-)Google wusste das im März und hat nichts gesagt. Weil, äh,
The WSJ quoted an internal Google memo that said doing so would draw “immediate regulatory interest”.Und wo kämen wir da hin!Immerhin ziehen sie jetzt Konsequenzen und machen Google+ zu.
Update: Brian Krebs fällt noch auf, dass man sich ja mit Facebook-Logindaten anderswo einloggen kann, und er hat mal bei Facebook nachgefragt. Die Antwort:
A Facebook spokesperson confirmed that while it was technically possible that an attacker could have abused this bug to target third-party apps and sites that use Facebook logins, the company doesn’t have any evidence so far that this has happened.
Klar hat jemand dein Geld gestohlen, aber wir haben noch keine Beweise dafür, dass er es auch ausgegeben hat!!1! Tolle Logik.
Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.Und was sagt Knuddels dazu?
Später hieß es, dass alle Nutzer betroffen seien, die am 20. Juli 2018 einen Account beziehungsweise Nick bei Knuddels.de besessen hätten. Das Unternehmen sucht nach eigenen Angaben noch nach der Ursache des Leaks. "Sollte es ein Sicherheitsproblem geben, werden wir dieses schnellstmöglich beheben", hieß es.IHR SEID DAS FUCKING SICHERHEITSPROBLEM! Wenn da Passwörter im Klartext rumlagen, dann seid ihr das Sicherheitsproblem. Und moralisch verwerflich ist euer Handeln eh. (Danke, Roland)
Ja so ist das, wenn die Daten das Öl der Wirtschaft sind. Da gibt es dann schon mal einen Ölteppich.
Sportlich!
Ich bin da kein Kunde und habe keine Ahnung, was da passiert ist und was nicht. Ich gebe hier nur das Gerücht weiter. Im Zweifel für den Angeklagten.
Update: Heise bestätigt.
Update: Domainfactory gibt den Hack zu.
Und das krasseste an diesem Anbieter ist, dass die gerade einen wunderschönen Datenreichtum hatten.
Das entstand übrigens, wie so vieles, mit guten Intentionen. "Wir sollten unsere User alle halbe Jahr darauf hinweisen, sich mal wieder testen zu lassen".
Wie es so schön heißt: The road to hell is paved with good intentions.
Update: Immerhin sind sie mit dem Leak gut umgegangen und hatten ihre Passwörter ordentlich mit bcrypt gehashed, und dann haben sie ihre User schnell informiert, was passiert ist, und was sie tun wollen, um ihre Prozesse zu verbessern. Allerdings schrieb mir ein Leser, dass er mal einen Account hatte und den gelöscht hat und sich von denen schriftlich bestätigen ließ, dass die Daten weg sind. Und der hat dann jetzt trotzdem diese Mail gekriegt.
Und hier ist jetzt die Ausrede des Monats, vom zuständigen IT-Minister KJ Alphons:
The Indian agency that administers Aadhaar said the breach claims were “baseless” and KJ Alphons, minister for information technology, said opponents of the programme cared only when it was “your own government” seeking data.He said US visa applications demanded pages of documents and biometric data from Indians, with which most complied.
“We have absolutely no problem giving our fingerprints and getting body naked before the white man at all,” Alphons said on Sunday. “When your own government asks for your name and address, there is a massive revolution, saying it is an intrusion of privacy.”
Ja aber echt mal! Die Amis sind doch genau so schlimm! Nur weil wir hier inkompetente Pfuscher sind und die Leute gegen uns einen Hebel haben, nur deshalb kriegen wir jetzt hier Kritik ab und die Amis nicht!1!!Bonus-Punkte in der B-Note für "naked before the white man".
In der Binärdatei der App aus dem App Store befanden sich unter anderem fest einkodierte Zugangsdaten, die einen Zugriff auf reale Einsätze ermöglichten.
Unbekannte haben sich im Herbst 2017 missbräuchlich die Kontaktangaben von rund 800 000 Swisscom-Kunden verschafft. Sie hatten dafür die Zugriffsrechte eines Vertriebspartners entwendet. Die Swisscom verschärft nun die Sicherheitsmassnahmen.You had me at "Vertriebspartner". (Danke, Raphael)
Innovationen brauchen DatenreichtumMoment, geht noch weiter!
Damit Innovation durch Daten Erfolg haben kann, setzen wir uns für eine neue Datenkultur ein: Weg vom Grundsatz der Datensparsamkeit hin zu einem kreativen, sicheren Datenreichtum.Die persiflieren sich selbst. Und merken es nicht mal.
Schade, bisschen lang für ein T-Shirt, oder? (Danke, Christoph)
Zu den gestohlenen Daten zählen die persönlichen Informationen von Kunden, inklusive Bankdaten und Sozialversicherungsnummern. TIO fordert seine Kunden dazu auf, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen und bietet Betroffenen ein kostenloses Credit Monitoring für das nächste Jahr an.Aber ja! Schließen Sie schnell dieses Abo bei uns ab! Nein, nein, kosten nichts *Fußnote ins Kleingedruckte*!1!!
Nachdem ich hier gerade von Vodafone-Drückerkolonnen belästigt werden, nenne ich das ab jetzt gevodafoned werden. „Oh nein! Erst wurden ihre Daten gestohlen und dann wurden sie auch noch gevodafoned!“
Update: Paypal-Kunden sind wohl nicht direkt betroffen von dem Leak.
Nein, wirklich! SCHON WIEDER ein Fall von einer Tastatur-Software für Touchscreens, die die Daten in die Cloud hochlädt. Und natürlich gibt es dann einen Datenreichtum. Völlig überraschend. Ich weiß, ich weiß.
Laut Medienberichten waren zum Beispiel die Telefonnummern und Profilbilder der Nutzer im Internet frei einsehbar. Die Sicherheitslücke sei weltweit aufgetreten.Das ist so ein chinesischer Anbieter von Fahrrädern, die sie großflächig im öffentlichen Raum abgeworfen haben, und die man dann per App kurzzeitig mieten kann. (Danke, Andy)
Na weil ihr Buddy Israel Kaspersky gehackt hat und da die NSA-Tools gefunden hat!
Das ist ja mal supergeil. Israel hackt Kaspersky, entdeckt dabei illegale Angriffstools der Amerikaner, aber Kaspersky sind jetzt die Bösen. Ja nee, klar.
New hotness: Datenreichtum der NSA-Kryptoknackhardware-Dokumente über einen ungesicherten Rechner an einer Uni.
Die Dokumente dokumentieren "WindsorGreen", das Nachfolgemodell von WindsorBlue, über das in den Snowden-Dokumenten Andeutungen standen, daher ist das hier vermutlich echt.
Auf der Skala der paranoiden Bedrohungsszenarien, die sich Krypto-Leute seit Dekaden in endlosen Spekulationen über die NSA zurechtlegen, ist das ziemlich weit oben. Die haben da ASICs mit 30nm Strukturbreite am Start, eine Kooperation mit IBM. Der Vorgänger war noch 90nm. Und der Vorgänger hat noch DRAM verwendet, hier sind sie auf SRAM umgestellt. Das zeigt, dass es sich hier entweder um eine Verzweiflungstat oder ein "Geld spielt keine Rolle"-Szenario handelt, denn in normalen Computern wird SRAM für die Caches in der CPU verwendet, und für nichts größeres, weil es viel zu teuer wäre. Das zieht niemand auch nur in Erwägung. Cray hatte damals in ihren legendären Kisten SRAM als Hauptspeicher verbaut. Daher waren die auch so teuer.
Der Punkt ist jedenfalls: Wenn jemand zu mir käme, "Geld spielt keine Rolle, wir müssen Krypto knacken" sagt, dann wären das ungefähr die Rahmenparameter, die mir als unrealistische rechts-unten-Option einfallen würden. Ich will gar nicht wissen, was so ein Gerät kostet.
Scrollt mal ein bisschen runter. Da seht ihr eine Pixel-Art-Darstellung von einer Installation. Das ist eine Turnhalle, von der Größe her. Und das ist der Vorgänger des Vorgängers. Dieses Teil wird auch mindestens so groß sein.
Die gute Nachricht ist, dass das Angriffsmodell für Krypto-Algorithmen genau ein Laden ist, der solche Hardware bauen würde. Wenn ihr mindestens 2048-Bit RSA nehmt, und einen 256-Bit AES darüber, dann kann das auch so eine Maschine nicht mal eben brechen.
Aber wir wissen jetzt, dass sie es wirklich versuchen wollen. Die, die sich jetzt echt Sorgen machen sollten, sind Leute, die keine ordentlichen Passwort-Hash-Verfahren verwenden. Das ist in der Praxis so die schimmeligste Krypto-Eiterbeule, die man vorfindet. So "MD5 vom Password" oder so.
Übrigens ist Passwort-Hashing in den letzten Jahren explizit mit Verfahren wie scrypt oder Argon2 auf das Bedrohungsszenario ASIC eingegangen, und haben Verfahren entworfen, die viel RAM-Zugriffe haben. Denn das ist die Achilles-Sehne von ASICs. Diese Dokumente sind jetzt schon ein paar Jahre älter. ASICs können zwar Algorithmen beschleunigen gegenüber einer CPU, aber Speicherzugriffe sind immer noch langsam und man hat an ASICs im Allgemeinen Größenordnungen weniger Speicher als an normalen CPUs. Dieser Speicher-Faktor bei scrypt und Argon2 hat das Ziel, ASICs den Vorteil ihrer algorithmischen Beschleunigung nicht mehr ausspielen zu lassen. Die Frage ist jetzt, ob die NSA da genug SRAM verbaut hat, um solche Behinderungen zu kompensieren oder nicht.
Update: Drei Manager haben noch schnell Aktien verkauft, bevor das bekannt wurde.
Update: Haha, ganz toll: Equifax hat vorher dafür lobbyiert, dass Opfer von Datenreichtum keine Entschädigung kriegen.
Es sieht ganz so aus, als hätten die einen Datenreichtum zu begießen!
How severe is the problem? Our experts could recover the following types of information from several Fortune 1000 companies:- Cloud keys (AWS, Azure, Google Compute) – which could provide you with access to all cloud resources
- App store keys (Google Play Store, Apple App Store) – letting you upload rogue applications that will be updated in place
- Internal usernames, passwords, and network intelligence
- Communications infrastructure (Slack, HipChat, SharePoint, Box, Dropbox, etc.)
- Single sign-on/two factor keys
- Customer data
- Proprietary internal applications (custom algorithms, trade secrets)
Naja, äh, das geht ja noch. Hätte ja noch schli… andererseits. Nee. Wüsste gerade nicht, wie das noch schlimmer hätte sein können. Das ist schon echt schlimm. (Danke, Maximilian)
Mandiant, das sind die, die mit dem Heißluftgebläse APT angefangen haben. Seit Mandiant ist plötzlich jeder Furz in der Browser-History ein APT.
Update: Fireeye (Mandiant-Eigentümer) dementiert. (Danke, Rene)
GOP Data Firm Accidentally Leaks Personal Details of Nearly 200 Million American VotersDatenschutz, Schmatenschutz, wieso würde man die Daten von 200 Millionen Wählern schützen wollen?! Das ist doch bloß dem Kapitalismus im Wege!1!!
Stellt sich raus, dass die anscheinend ihren Datenreichtum mit der Welt teilen, indem sie einen öffentlichen API-Call haben, der einem Metadaten zu einer Telefonnummer meldet, ob man mit der schon Kontakt hatte oder nicht. (Danke, Roman)
Nehmt Biometrie, sagten sie. Ist sicher, sagten sie. (Danke, Bernd)
OH NEEEIIIIINNNNN!!!!!
Kern des geplanten neuen, einheitlichen Zugangs für Online-Angebote soll ein Generalschlüssel sein. Diesen sollen Kunden branchenübergreifend verwenden können, um sich im Internet zu registrieren und zu identifizieren. Die Plattform soll den Nutzern mehr Komfort und auch mehr Sicherheit bieten sowie höchste Standards bei Datensicherheit und Datenschutz gewährleisten. Sie soll sowohl das reformierte EU-Datenschutzrecht berücksichtigen als auch die eIDAS-Verordnung, die die Vertrauensdienste der Online-Ausweisfunktion reguliert.Das klingt nach Compliance statt Sicherheit. Hey, was kann da schon schiefgehen? Das wird ein epischer Datenreichtum *händereib* (Danke, Erhard)
November 2016 tauschte ein Mann aus Wiesbaden eine Web-Cam bei einem Internethändler um. Zuvor hatte er die Kamera so programmiert, dass sie ihn bei Bewegungen oder Wärmeentwicklungen automatisch Bilder an seine E-Mail-Adresse schickt. […] Späterer Käufer der Kamera war ausgerechnet der 49-jährige Allacher, der damit seine Marihuana-Plantage in dessen Wohnung überwachen wollte. Als der Wiesbadener am 22. Januar die ihm unbekannten Bilder von üppigen Plantagen sah, informierte er sofort die Polizei.Einmal mit Profis arbeiten!
Außerdem: Gut, dass das kein Terrorist war, denn:
„Insgesamt erfolgte die Sicherstellung von mehr als 11 000 Schuss Munition, rund 6,5 Kilogramm Schwarzpulver, zwei Druckluftwaffen sowie einer Vielzahl an Gerätschaften zum Wiederladen von Treibladungsmunition verschiedener Kaliber“, teilte die Polizei am Donnerstag mit.Er hatte allerdings einen Waffenschein für Langwaffen. (Danke, Wolfgang)
Alles, was die Leute so IoT vorwerfen, ist auf Smartphones anwendbar. Billigst hergestellt, auf Verschleiß optimiert, gibt keine Updates vom Hersteller, Datenreichtum in der Cloud irgendwo, man fängt sich Dutzende von unklaren Abhängigkeiten auf irgendwelche Dienste irgendwo ein, und wenn die mal weg gehen, ist auch die Funktionalität weg. Nur um mal ein paar der üblichen IoT-Vorwürfe zu nennen.
Ich glaube daher, IoT ist eine Nebelwand, und eigentlich geht es uns um Smartphones.
Und meine eigentliche These ist ja, dass das alles bloß das Symptom ist, nicht das Problem. Und das Problem ist unterregulierter Kapitalismus.
Am Rande der Wahl des neuen Regierungschefs in Hongkong haben Unbekannte zwei Laptops mit 3,7 Millionen Datensätzen gestohlen. Laut einem Bericht der Hong Kong Free Press waren auf den Rechnern Namen, Adressen und Ausweisnummern von allen registrierten Wählern der Stadt gespeichert.Schon toll, so ein Datenreichtum.
According to multiple support threads started in the last three weeks and merged into one issue here, users had complained about old folders that they deleted years ago, magically reappearing on their devices.Wie das so ist in der Cloud. Account löschen und Dateien löschen implementiert niemand wirklich. Das liefe ja dem Big Data-Anspruch zuwieder!
it has long been assumed that propaganda posts would support the government with praise or criticize critics of the government. Not so. In fact, propaganda posts actively steer away from controversial issues. Instead, the effort appears to be to distract (especially to distract the people from organizing collective action; thus distraction campaigns peak around times and places where collective action like marches and protests might become focal).Und DAS ist mal eine echt spannende Einsicht. Und es ist vor allem auch nicht so abwegig, da hätte man selber drauf kommen können.Debate is about appealing to an individual’s reason; debate is thus implicitly individualistic, respectful of rights and epistemically egalitarian. […] Authoritarians don’t care about these things and so they lie and distract with impunity and without shame.
Aber das Highlight an der Story ist, wie sich der Chef von Hackingteam darüber aufregt. Denen war 2015 auch ein großer Datenreichtum beschert.
Based on further analysis of this data by the forensic experts, we believe an unauthorized third party, in August 2013, stole data associated with more than one billion user accounts.Holla! Sportlich!
Datensparsamkeit passt nicht mehr in digitale Welt, so BM Dobrindt, brauchen kreativen Datenreichtum!Zitiert von den Sympathieträgern von Bitkom. Da passt mal wieder alles wie Arsch auf Eimer.
Also ich freue mich ja auch über jeden Datenreichtum. Letzten erst gab es bei Yahoo 500 Millionen Datensätze Datenreichtum. Das kann ja jeder selber sehen, wie das unsere Wirtschaft angekurbelt hat!
Das Zitat ist glaube ich schon etwas länger, aber Bitkom braucht ja auch sonst immer ein bisschen länger.
Die Daten weisen darauf hin, dass im Jahr 2016 durch die Anwälte bis zu 580 Abmahnungen verschickt wurden.
dadadaNein, wirklich! Ein Kunstliebhaber, dieser Zuckerberg!
Kurzer Tipp: Wenn ihr ein Passwort braucht, das ihr euch merken könnt, und das nicht so leicht zu raten ist, dann nehmt ihr euch irgendeine Buchpassage oder einen Liedtext, der euch wichtig ist und den ihr gut kennt. Und daraus nehmt ihr dann, wenn die Passage lang genug ist, immer den 1. Buchstaben jedes Wortes, sonst jeder Silbe. Aus
Die Aufklärung ist der Ausgang des Menschen aus seiner selbstverschuldeten Unmündigkeitwird dann zum Beispiel
DAidAdMassUDa tut ihr dann noch ein-zwei Ziffern und Sonderzeichen dran.
Das ist jetzt kein großartiges Passwort, aber es ist deutlich besser als was sich die Leute sonst so ad hoc aus dem Hintern ziehen.
Update: Wenn es keine Längenbeschränkung gibt, macht es wie xkcd vorschlägt.
Ich linke da nicht drauf, weil ich das verurteile.
Würden wir das umgekehrt gutheißen, wenn AfD-Sympathisanten das mit einem Parteitag der Linkspartei oder SPD tun würde?
Nein, würden wir nicht.
Wenn die AfD verfassungsfeindlich wäre, dann könnte man so eine Liste sammeln, aber das wären dann bitte auch nicht irgendwelche Netz-Vigilantes sondern das wären dann die zuständigen Behörden.
Ob euch die Position der AfD gefallen oder nicht — das ist eine Partei und damit Teil unserer Demokratie. Setzt euch gefälligst inhaltlich mit denen auseinander und nicht durch Demos vor Privathäusern von Politikern oder Leaken von personenbezogenen Daten.
Diese beschissene Mistgabel-Mentalität immer, das ist für meinen Geschmack viel zu nahe an Folterknast-Entführungen der Amis dran. Nur weil ich jemanden für gefährlich halte, heißt das nicht, dass der seine Menschenrechte verloren hat!
Ja?
Nun, VTech hat eine innovative Lösung gefunden!
Sie schreiben einfach in ihre AGB rein, dass irgendwelche Hacker immer irgendwas hacken können mögen. Nein, wirklich!
“YOU ACKNOWLEDGE AND AGREE THAT ANY INFORMATION YOU SEND OR RECEIVE DURING YOUR USE OF THE SITE MAY NOT BE SECURE AND MAY BE INTERCEPTED OR LATER ACQUIRED BY UNAUTHORIZED PARTIES.”
Das ist nun kein neues Phänomen, aber früher betraf das nur so kleine Webshop-Klitschen.
Anscheinend setzen die Großen auch keine bessere Technologie als so Gammel-PHP-Webseiten ein.
Seufz. Ich finde das ja immer schade, wenn sich meine Paranoia rückwirkend als berechtigt herausstellt.
Und was tun sie?
Einen Datenbrief verschicken (seit Jahren eine Forderung des CCC für solche Fälle)!
Datenreichtum für alle!
Schluss mit der Datensparsamkeit. Was wir brauchen, ist ein Datenreichtum.In diesem Sinne: Hier haben wir einen schönen Fall von Datenreichtum.
The personal information of almost 5 million parents and more than 200,000 kids was exposed earlier this month after a hacker broke into the servers of a Chinese company that sells kids toys and gadgetsEs handelt sich um die Firma "VTech".