Yahoo und Flickr: Server von OpenSSL-Lücke betroffen, Nutzerdaten abfischbar

8. April 2014 Kategorie: Backup & Security, geschrieben von: caschy

Schlechte Nachrichten gibt es für Nutzer von Yahoo und dem von Yahoo damals übernommenen Foto-Dienst Flickr. Durch die heute morgen bekannt gewordene OpenSSL-Lücke sind unzählige Server im Internet von einer potentiellen Sicherheitslücke betroffen. Das Schlimme: bei Flickr ist dies konkret. Gegen 15:30 Uhr durchgeführte Tests (Werkzeuge finden sich auf GitHub) zeigen: in 13 von 20 Tests ließen sich bei Yahoo-Servern Session Cookies entwenden.

Bildschirmfoto 2014-04-08 um 16.11.16

Anmerkung: die Tests wurden nicht von uns durchgeführt, ein an der Thematik interessierter Leser ließ uns seine Erkenntnisse zukommen – wer mag, der kann zusätzlich die Twittersuche bemühen, dort gibt es ebenfalls viele Informationen, auch Screenshots, die Passwörter und Nutzernamen zensiert zeigen. Unschön das Ganze – LastPass hat anscheinend in der Zwischenzeit gepatcht, ob Daten abhanden gekommen sind, wurde noch nicht beantwortet. Höchstwahrscheinlich gibt es noch unzählige Dienste, die ebenfalls so offen sind. Kurzum: das Ganze ist ein GAU.

LastPass-Server von OpenSSL-Lücke betroffen

8. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Kurz notiert: ich möchte hier niemanden in Panik versetzen, der auf den Passwort Manager LastPass setzt, aber zur Stunde sieht es so aus, als sei der Dienst, bzw. der Server anfällig für die bekannt gewordene OpenSSL-Sicherheitslücke, Überprüfungen des Servers haben ergeben, dass dort immer noch nicht die aktuelle OpenSSL-Version eingesetzt wird.

Bildschirmfoto 2014-04-08 um 12.38.51

Kurios ist, dass es bereits Betreiber wie Cloudflare gibt, die anscheinend im Vorfeld über die Sicherheitslücke in Kenntnis gesetzt wurden und schon seit letzter Woche auf einen Patch zugreifen konnten. Pauschal kann man nicht sagen, inwiefern Server, beziehungsweise Dienste wie LastPass angreifbar sind, denn wir wissen nicht, wie der Dienst intern strukturiert ist. Im allerschlimmsten Falle könnten Passwörter und Benutzernamen für gespeicherte Dienste gestohlen worden sein. Ich habe LastPass einmal angeschrieben und ich denke, dass es dazu bald ein Statement gibt. Ob Server anfällig sind, kann auf dieser und dieser Seite getestet werden.

Update: LastPass hat sich geäußert. Kurzform: LastPass ist nach eigenen Aussagen nicht betroffen, da unter anderem Perfect Forward Secrecy eingesetzt wird, ferner können die LastPass Server nicht auf euren verschlüsselten Key zugreifen.

Dennoch: Das Unternehmen teilt mit, dass unzählige Dienste im Web betroffen sind und hier bereits Passwörter abgefischt sein könnten. Diese Passwörter sollte man schleunigst ändern, wenn die Server des Anbieters gepatcht sind. Ein ganz schlechtes Beispiel sind Yahoo und Flickr – da kann fast spielend zugegriffen werden.

OpenSSL mit schwerwiegender Sicherheitslücke

8. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Sicherheitsexperten haben eine extrem kritische Sicherheitslücke in OpenSSL entdeckt. Die Sicherheitslücke, die die Versionen  1.0.1 einschließlich 1.0.1f von OpenSSL betrifft, kann zum Auslesen von privaten Keys der Server genutzt werden, wenn ein speziell manipuliertes Datenpaket von Angreifern eingesetzt wird.

openssl-logo_1

Mail-Anbieter Posteo kritisiert BSI-Vorgehen

7. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Seit heute informieren diverse deutsche Provider und das Bundesamt für Sicherheit in der Informationstechnik über einen großen Datendiebstahl, der nach letzten Erkenntnissen circa 21 Millionen Datensätze umfasste – nach einer Analyse kam man irgendwie auf die Summe von 18 Millionen Zugängen. Während die großen Provider Deutsche Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de proaktiv ihre Kunden informieren, müssen alle anderen selber auf der Webseite des BSI vorstellig werden.

Bildschirmfoto 2014-04-07 um 22.17.20

Eine Lösung, die ich in diesem Beitrag kritisierte. Auch der deutsche Mail-Anbieter Posteo übt Kritik. Nachdem der Anbieter viele Anfragen von Kunden zum Thema bekam, wurde man beim Bundesamt für Sicherheit in der Informationstechnik vorstellig – ohne Erfolg. Lediglich die Pressestelle antwortete und hatte die Antwort parat, dass nur Anbieter informiert werden, bei denen mindestens 20.000 Postfächer betroffen sind. Für die Kunden des Posteo-Dienstes und allen anderen, hier nicht genannten Diensten bedeutet dies: die Webseite des BSI ist euer Freund. Mit allen Unsinnigkeiten, die ich schon erwähnte.

Kommentar zum Identitätsdiebstahl / BSI-Sicherheitstest

7. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Wieder einmal gibt es einen großen Datenskandal. Dem Bundesamt für Sicherheit in der Informationstechnik liegen 21 Millionen E-Mail-Adressen und Passwörter vor. Nach eigenen Aussagen sind nach einer Analyse des ganzen Datensatzes 18 Millionen E-Mail-Adressen übrig, nebst den dazugehörigen Passwörtern.Frau ärgert sich über Computer

Identitätsdiebstahl: BSI informiert Betroffene, Selbsttest online

7. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert nach einem bekannt gewordenen Identitätsdiebstahl betroffene Nutzer in Deutschland.  Die Staatsanwaltschaft Verden  hat dem Bundesamt für Sicherheit in der Informationstechnik  einen Datensatz mit rund 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt.

Datenschutz Tastatur finger

Identitätsdiebstahl: BSI mit Update, genaue Informationen und Warnungen am 7. April

6. April 2014 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Internetnutzer werden bald wieder im Netz, Radio und TV über den “bislang größten” Identitätsdiebstahl unterrichtet werden. Bislang ist es in den traditionellen Medien relativ ruhig, was auch daran liegt, dass noch keine konkrete Warnung seitens des Bundesamtes für Sicherheit in der Informationstechnik rausgegangen ist. Was ist konkret passiert?

Datenschutz Tastatur finger

Microsoft will Adware standardmäßig erkennen und den Nutzer informieren

4. April 2014 Kategorie: Backup & Security, Windows, geschrieben von: caschy

Microsoft hat erörtert, wie man in Zukunft gegen Adware vorgehen will. Bei Adware handelt es sich zum Beispiel um oft kostenlose Software, die dann Werbung einblendet oder sogar eigene Werbung auf fremden Webseiten ausspielt, um so Geld zu machen. Beginnend ab 1. Juli will Microsoft dieser Art Software einen Riegel vorschieben, sofern sich nicht an bestimmte Regeln gehalten wird.

adware4

Identitätsdiebstahl: BSI erarbeitet Informationslösung

4. April 2014 Kategorie: Backup & Security, geschrieben von: caschy

Gestern berichtete das Magazin “Der Spiegel” von einem gigantischen Identitätsdiebstahl, der 18 Millionen aktuelle Datensätze betreffen soll. Mindestens 3 Millionen dieser Identitäten sollen deutschen Nutzern gehören. Der Spiegel bezog seine Informationen aus Ermittlerkreisen der Staatsanwaltschaft Verden, denen diese Daten vorliegen.

Datenschutz Tastatur finger

Datenklau: 18 Millionen Datensätze ins Netz deutscher Fahnder gegangen

3. April 2014 Kategorie: Backup & Security, geschrieben von: caschy

Der Spiegel berichtet in einem aktuellen Beitrag von einem gigantischen Datenklau, bei dem es um insgesamt 18 Millionen E-Mail-Adressen nebst Passwörtern gehen soll. Hierbei soll es sich um den größten Datendiebstahl in der Geschichte Deutschlands handeln, der Spiegel hat seine Informationen nach eigenen Aussagen von der Staatsanwaltschaft Verden – diese haben die E-Mail-Adressen mit den zugehörigen Passwörtern “sichergestellt” – besser sollte man sagen: eine Kopie vorliegen.

Datenschutz Tastatur finger



Seite 3 von 134123456...Letzte »