Kategorie: Hackerangriffe
4. März 2013
Medienberichten zu folge, sei der Clouddinest Evernote einem Hackerangriff zum Opfer gefallen, bei welchem Millionen verschlüsselter Passwörter gestohlen worden seien. Der Clouddinstleister teilt in seinem Blog mit, dass das Netzwerk von Hackern angegriffen worden und dadurch Nutzernamen, E-Mail-Adressen und verschlüsselte Passwörter gestohlen worden seien.
Alle Passwörter seien nun zurückgesetzt worden und der Nutzer werde beim nächsten Login aufgefordert, ein neues Passwort zu wählen. Es handle sich um “einen koordinierten Versuch”, sich “Zugriff auf den gesicherten Bereich des Evernote-Dienstes zu verschaffen”, so Evernote im Blog.
Vor ein paar Wochen war auch Twitter von Hackern angegriffen worden. Um so mehr sollte auf den verantwortungsvollen Umgang mit Passwörtern Wert gelegt werden.
7. Februar 2013
Auch wenn die Tendenz der letzten Jahre eine Sensibilisierung hinsichtlich des Themas Datenschutz in der Gesellschaft erkennen lässt, zeigen sich beim Thema “Passwortsicherheit” weiterhin erkennbare Mängel. Zu diesem Ergebnis kommt jedenfalls eine Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Diese ergab, dass etwa über die Hälfte der Internetnutzer ein einziges Passwort im Internet mehrfach bis ausschließlich verwenden. Dies verwundert angesichts der stetig wachsenden Notwendigkeit, sich auf diversen Portalen einzuloggen, um die entsprechenden Angebote und Dienste wahrnehmen zu können, nicht. Aber es stellt eine nicht zu vernachlässigende Gefahr aufgrund reiner Bequemlichkeit dar. “Viele Menschen sind zu nachlässig bei der Wahl ihrer Passwörter, ob für den heimischen Rechner, den E-Mail-Account oder für das Profil im Sozialen Netzwerk. Damit machen sie es den Kriminellen leicht, an ihre Daten zu kommen und schlimmstenfalls in ihrem Namen Straftaten zu verüben”, sagt Prof. Dr. Wolf Hammann, Vorsitzender der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Insbesondere Passwörter, die sich in Wörterbüchern finden, seien ein leichtes Ziel für Hacker. Diese können anhand einer leicht zu bedienenden Software etliche Wörter von A – Z innerhalb von kurzer Zeit auf die Kompatibilität testen. “In wenigen Augenblicken können sie anhand von speziellen Geräten, die von Aal bis Zwetschge alle Begriffe als Passwort ausprobieren, beispielsweise ein E-Mail-Postfach knacken. Damit sind ihnen oft Tür und Tor für andere Straftaten geöffnet. Deswegen ist es wichtig, für verschiedene Dienste verschiedene Passwörter zu haben, um sich vor Internetkriminalität schützen zu können”, sagt Hammann.
Michael Hange, Präsident des BSI erläutert, wie sicherer Passwortschutz funktioniert: “Ein sicheres Passwort für jeden Online-Dienst gehört zu den zehn Basismaßnahmen, die jeder Internetnutzer in Bezug auf die Sicherheit beherzigen sollte. Die Ergebnisse unserer Umfrage zeigen, dass unsere Aufklärungsarbeit Wirkung zeigt. Über zwei Drittel der Befragten wissen, wie ein starkes Passwort erstellt wird: Es besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen. Wer sein Passwort alle drei Monate ändert, macht es Internet-Kriminellen bedeutend schwerer.”
Das BSI rät zudem zu folgenden Maßnahmen:
- Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.
- Wählen Sie ein Passwort, das mindestens acht Zeichen lang ist. Es sollte aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen und auf den ersten Blick sinnlos zusammengesetzt sein. (Ausnahme: Bei Verschlüsselungsverfahren wie beispielsweise WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein.)
- Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. Das Passwort sollte nicht in Wörterbüchern vorkommen. Auch Passwörter, die aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (z. B. “asdfgh” oder “1234abcd”), sind nicht empfehlenswert. Einfache Ziffern oder Sonderzeichen wie “$” am Anfang oder Ende eines ansonsten simplen Passwortes bieten keinen ausreichenden Schutz.
- Bewahren Sie Ihre Passwörter sicher auf.
- Geben Sie Ihre Passwörter nicht an Dritte weiter.
- Ändern Sie immer bereits voreingestellte Passwörter.
- Nutzen Sie einen Bildschirmschoner mit Passwortabfrage nach einer voreingestellten Wartezeit, wenn der PC angeschaltet ist und nicht genutzt wird.
4. Februar 2013
Nach Medienberichten, wurde ein Datenschutz-Leck bei JT Touristik hinsichtlich Flügen mit Ryanair entdeckt. Recherchen der dpa nach, seien die Daten von knapp 5000 Ryanair-Flugreisenden wegen der Buchungen über eine einheitliche E-Mail-Adresse für andere Kunden des Reiseveranstalters JT Touristik einsehbar gewesen.
Ihre Kunden hätten eine einheitliche E-Mail-Adresse für den Web Check-In bekommen, wenn sie eine Reise mit einem Ryanair-Flug gebucht haben, so habe JT Touristik bestätigt. Dies habe die Folge gehabt, dass die Einsichtnahme fremder Buchungen auf der Internet-Seite von Ryanair möglich geworden sei. Laut Aussage von Jasmin Taylor, Geschäftsführerin JT Touristik habe JT Touristik den Fehler bei den aktuellen Buchungen beseitigt und teile seitdem jeder Buchung eine individuelle Email-Adresse zu.
Ein ähnlicher Vorfall ist zu Beginn des Jahres beim Reiseanbieter Urlaubstours entdeckt worden, der zur Online-Unternehmensgruppe Unister gehört.
Der Mikroblogging-Dienst Twitter ist nach eigenen Angaben Opfer eines Hacking-Angriffs geworden, bei dem Daten von bis zu 250.00 Nutzern erbeutet wurden. Die Passwörter der betroffenen Nutzerkonten seien mittlerweile zurückgesetzt und die Nutzer mittels E-Mail informiert worden. Der Angriff werde aufgrund der an den Tag gelegten Raffinesse nicht als Amateurwerk bewertet. Ferner gehe man nicht davon aus, dass es sich um einen Einzelangriff handelt, sondern dass auch andere Firmen und Organisationen auf vergleichbare Weise angegriffen wurden. Dies sei der Grund für die frühe Veröffentlichung des Angriffs. Das Unternehmen unterstütze die Ermittlungsbehörden bei ihren Untersuchungen – letztlich um das Internet für alle Nutzer sicherer zu machen.
28. Januar 2013
Medienberichten zufolge habe ein pseudonymisierter Mitarbeiter eines für eBay arbeitenden Callcenters im Forum Sellerforum.de schwere Vorwürfe über zwei Datenschutz-Probleme erhoben: dass zum einen die Mitarbeiter des Dienstleisters alle privaten Nachrichten haben lesen können und zum anderen Betrüger sich ohne viel Aufwand Zugang zu einem Nutzerkonto verschaffen könnten. eBay soll gegenüber Heise online erwidert haben, dass der Zugriff auf die privaten Nachrichten der Nutzer mit dem Ziel, Betrugsversuche zu entlarven, von der Bundesnetzagentur 2008 als „rechtskonform beurteilt“ worden sei und es im Unternehmen verschiedene Formen der Verifizierung gebe, sodass der Zugriff auf „keinerlei sensible Daten eines Mitgliedskontos“ möglich sei.
25. Januar 2013
Medienberichten zufolge, soll Sony vom UK Information Commissioners Office zu einer Strafzahlung von 250.000 Britischen Pfund (umgerechnet rund 295.000 Euro) verurteilt worden sein. Die Strafe bezieht sich auf den im Frühjahr 2011 vollzogenen
Cyber-Angriff auf das Playstation Network und die daraus entstandene Entwendung sensibler Kundendaten. Nachforschungen sollen ergeben haben, dass der Angriff durch aktuelle Software hätte verhindert werden können.
Laut Angaben, wird Sony in Berufung gehen und die Strafe nicht einfach akzeptieren. Es könne nicht nachgewiesen werden, ob die gestohlenen Kreditkartendaten durch die Hacker entschlüsselt wurden.
8. Januar 2013
Gegen Ende des vergangenen Jahres sah sich Ubisoft mit einer wachsenden Anzahl an Beiträgen im eigenen Forum konfrontiert, die davon berichteten, dass Ihre Konten von Ubisofts Spieleplattform Uplay von Fremden übernommen worden seien. Die Nutzer erfuhren durch eine automatisch generierte Bestätigungsmail von den Vorgängen. Darin wurde Ihnen die Änderung ihrer E-Mail Adresse und ihres Passwortes mitgeteilt. Auffälligerweise finden sich unter den “neuen” E-Mail Adressen häufig solche mit .su (ehemalige Sowjetunion) oder .ru Russland Top-Level-Domain.
Gegenüber der amerikanischen Spieleseite GameSpy bestätigte Ubisoft die Vorfälle, sprach dabei jedoch von einer “begrenzten Anzahl” betroffener Accounts und führte aus, dass keine finanziellen Informationen oder personenbezogene Daten betroffen seien. Allerdings deuten Forenpostings im genannten Thread darauf hin, dass die Hacker auch Zugriff auf Name und Geschlecht der Accountinhaber hatten, womit entgegen der Darstellung von Ubisoft doch personenbezogene Daten betroffen sein könnten.
Zur Ursache steht eine abschließende Stellungnahme noch aus. Ubisofts Support implizierte in einem Facebook Posting jedoch, dass die Verwendung desselben Passwortes bei mehreren Diensten Grund für die Übernahme der Accounts sein könnte. Die “persönliche Empfehlung” des offiziellen Supports zur Stärkung der Accountsicherheit besteht darin, diese mit Facebook zu verbinden. Betroffene Uplay Nutzer beteuern hingegen vehement, für Uplay kein Passwort verwendet zu haben, welches sie auch bei anderen Diensten nutzen. Ob es sich um eine Sicherheitslücke auf Ubisofts Seite oder um Fahrlässigkeit der einzelnen Nutzer handelte, ist somit momentan ungeklärt.
30. November 2012
Smartphone- und Tablet-Apps ermöglichen den Nutzern sämtliche Waren nicht nur bequem von zu Hause aus zu bestellen, sondern dies auch mobil zu erledigen. Vielfach wurde in diesem Zusammenhang darüber berichtet, dass insbesondere offene WLAN-Netze ein Sicherheitsrisiko darstellen. Viele App-Hersteller deklarieren ihre Apps jedoch für hinreichend sicher und klären den Nutzer darüber auf, dass das Risiko eines Datenverlustes – u.a. wegen durchgehender Verschlüsselungen – ausgeschlossen sei. Nach einem Bericht der Tagesschau ist dies hingegen nicht immer der Fall. Ein durchgeführter Test habe erhebliche Lücken erkennen lassen, die in offenen WLAN-Netzen ein erhebliches Risiko darstellen. Dritte könnten sich somit auch ohne entsprechende Hacker-Kenntnisse in die Sicherheitslücken einklinken und mit einfach zu bedienenden Programmen sensible Daten der Nutzer (z.B. Kreditkartennummern) abfangen. Den Angaben der App-Hersteller über die absolute Sicherheit ihrer Apps wäre insofern kein Glauben zu schenken, als dass diese Aussagen den Hauptrisikofaktor der WLAN-Netze unberücksichtigt lassen.
16. November 2012
Medienberichten zu folge, wurde eine große Sicherheitsgefahr in Skype entdeckt:
Beim Zurücksetzen eines Kennwortes wird gewöhnlich bei anderen Anbietern eine E-mail zu der hinterlegten E-mailadresse geschickt. Mittels Abrufen und Anklicken eines Links aus dieser Mail, muss sich der Zurücksetzende somit identifizieren.
Nicht so bei Skype, denn hier konnten auch Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen, wenn sie Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse hatten, wie vor zwei Monaten in einem russischen Forum berichtet wurde. Mit Hilfe der Beschreibung des Forums war es möglich, nur mittels der Email-Adresse einer Person ihren Skype-Account zu übernehmen
Wie Skype in seinem Blog mitteilt, konnte die Sicherheitslücke zwischenzeitlich geschlossen werden und es sei nicht mehr möglich, über die Passwort-zurücksetzen-Funktion das Skype-Konto eines anderen Nutzers zu übernehmen.
Folgende Beiträge könnten Sie auch interessieren
https://www.datenschutzticker.de/index.php/2012/11/google-sicherheitsluecken-in-eigenen-e-mail-signaturen/
https://www.datenschutzticker.de/index.php/2012/09/sicherheitsluecke-im-messenger-dienst-whatsapp/
https://www.datenschutzticker.de/index.php/2012/07/sicherheitsluecke-bei-der-singleboerse-meetone/
30. Oktober 2012
Wie Heise-Online berichtet besteht bei diversen Apps des Betriebssystems und der Software-Plattform Android ein erhebliches Problem mit der SSL-/TLS-Verschlüsselung. Das Online-Portal bezieht sich dabei auf eine Studie von Forschern der Leibniz-Universität in Hannover in Kooperation mit der Philipps-Universität Marburg. Diese hatten Android-Apps untersucht und dabei festgestellt, dass über 1.000 der 13.500 beliebtesten Anwendungen des im zweiten Quartal 2012 mit 68,1 % weltweiten Marktanteil stärksten Marktteilnehmers eine fehlerhafte oder unsichere Verschlüsselung aufwiesen. Die Ergebnisse veröffentlichten die Wissenschaftler in dem Paper „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“.
Konkret wurden 100 Android-Apps eingehender von den Forschern unter die Lupe genommen, wobei zunächst die Codes der Apps statistisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners zertifizieren müssen, untersucht wurden. Da sich dabei noch nicht feststellen lässt, ob tatsächlich der gefundene Code zum Einsatz kommt, wurden im Anschluss sogenannte Man-In-The-Middle-Attacken durchgeführt, um die verschlüsselte Verbindung aufzubrechen. Dabei wurde festgestellt, dass 41 der untersuchten Apps anfällig für Angriffe waren. Den Forschern gelang es über diese Apps Zugriff auf Bank- und Kreditkartenkonten sowie an Zugangs-Tokens für Email-Konten, Facebook-Konten und Messaging-Services zu erlangen. 20 Apps akzeptierten dabei schlicht jedes Zertifikat, die restlichen 21 kontrollierten zwar die Gültigkeit der Unterschrift des Zertifikats, nicht jedoch ob dieses auch auf den richtigen Namen ausgestellt war.
Besondere Beachtung war nach dem Bericht von Heise dabei dem plakativen Umstand zu schenken, dass es den Forschern gelang, Zoner AntiVir für Android eine gefälschte Signatur unterzuschieben, durch welche sich das Programm anschließend selbst als Bedrohung einstufte und die eigene Löschung anbot.
Pages: 1 2 ... 12 13 14 15 16 17 18 19 
