Fragen? Antworten! Siehe auch: Alternativlos
Das sieht man ganz gut an Fällen wie diesen.
Twilio this week confirmed suffering a data breach after hackers leaked 33 million phone numbers associated with the Authy application.
NATÜRLICH haben sie ihn erst zugegeben, nachdem die Staatsanwaltschaft die Beweise gegen sie in der Hand hatte. NATÜRLICH haben die da Millionen von Datensätzen herumliegen gehabt. NATÜRLICH kam keiner von deren Auftraggebern auf die Idee, da mal nachzugucken, mit was für einer unseriösen Klitsche sie da ihre Verträge abschließen. Und NATÜRLICH stand da bei keinem Auftraggeber in den Verträgen eine Konventionalstrafe pro wegkommendem Datensatz drin.Weil das halt alles nicht Security sondern Theater ist.
“While Authy accounts are not compromisedNee, natürlich nicht. Das geben sie erst zu, wenn die Staatsanwaltschaft es beweisen kann. Wie immer bei den Tech Bros.
In der Praxis wollen euch alle 2FA aufdrücken, und implementieren es dann hinten schrottigst bis völlig kaputt. Warum ist das so? Weil es nicht um 2FA oder Security geht, sondern es geht darum, das Narrativ zu etablieren, dass der User hier das Sicherheitsproblem ist, nicht die Bank. Wir sprechen jetzt solange über den CO2-Footprint, äh, die Dinge, die der User machen kann, bis bei jedem auftretenden Problem sofort alle denken: Da wird wohl der User was nicht ordentlich gemacht haben.
Zur Erinnerung: Wir reden hier vom zahlenden Kunden. Der Kunde zahlt und kauft damit einen Service, die Bringschuld inklusive ordentlich machen und Security liegt beim Verkäufer. Nicht beim Kunden!
Im Übrigen hilft 2FA natürlich überhaupt nicht gegen Hacker bei denen im System. Wer bei denen im System ist, braucht sich ja nicht mehr deren System gegenüber zu authentisieren.
Ich persönlich hab jetzt schon mehrfach Hacks erlebt, bei denen meine Daten betroffen waren. Noch kein einziges Mal war es meine Seite, auf der die Daten weggekommen sind. Immer die andere Seite. Deshalb geben ich denen auch jeweils nur das absolute Minimum an Daten und lobbyiere gegen Gesetze, die Hotels zum Sammeln von Meldedaten zwingen.
Lasst euch nicht von 2FA-Vertrieblern verarschen.
Übrigens, am Rande. Hilft 2FA denn, wenn euer Rechner gehackt wurde? Nein, natürlich auch nicht! Nicht mal dann hilft 2FA! Euer 2FA-Gerät sagt euch doch nicht, was ihr da gerade bestätigt? Das steht auf dem Display vom gehackten Rechner. Niemand garantiert euch, dass ihr gerade das bestätigt, was ihr zu bestätigen glaubt. Außer euer 2FA-Gerät hat ein eigenes Display, das diese Daten anzeigt. Und dann ist es unattraktiv teuer und so komplex, dass es wahrscheinlich auch gehackt werden könnte.
Die Postbank hat z.B. eine App, die das tut. Und ohne diese App kann man sich bei denen nicht mal einloggen. Man loggt sich auch nicht mit seinem Namen oder seiner Kontonummer ein sondern mit einer alphanumerischen ID. Wenn die wegkommt, kann der Angreifer damit genau nichts machen.
Was tut also die Postbank? Sagt dem Browser, er soll sich die ID dort nicht merken. Hat das irgendeinen Security-Zweck? Nein. Das ist reine Schikane von Nichtsblickern, die mir gegenüber erfolglos zu simulieren versuchen, dass sie was von Security verstehen. Tun sie nicht.
Update: Was mich ja besonders fertig macht: Das war nicht das erste Mal. Aber keiner von euch schmeißt Zulieferer raus, die ihre Security verkacken. Warum auch?! Die haben ja jetzt gepatcht!1!!
Es findet ja auch niemand mehr negativ, wenn einen Hersteller mit mehreren Patches pro Woche fluten. Das wird sogar positiv gesehen! Immer dran denken: Jeder Patch heißt, dass die was verkackt haben. Die haben ihren Kunden kaputte Produkte geliefert und du trägst nicht nur das Risiko, darüber gehackt worden zu sein, sondern auch das Risiko, dass ihr Patch kaputt ist und deine Produktion zerschießt.
Update: Falls jemand keinen Bock hatte, die Primärquelle zu lesen (*fingerwackel*), hier noch ein Money Quote daraus:
Twilio found no evidence that the hackers gained access to its systems or that they obtained other sensitive data, but as a precaution urged Authy users to install the latest Android and iOS security updates.
Der Handlungsbedarf ist nicht etwa bei der Firma, die die Daten ihrer User über einen API-Endpunkt in die Welt geblasen hat. Nein, nein, mein Herr! Der Handlungsbedarf ist bei den Kunden, deren Daten hier vergewaltigt wurden. Zum Kotzen, sowas.