News

Bio != gesund: Millionen biometrische Merkmale ungeschützt im Netz

Interessanterweise gilt in manchen Gebieten Biometrie immer noch als geeignetes Mittel, um Zugriffsschutz auf besonders sensible Bereiche oder Daten zu implementieren. Dass dieser Glaube Gefahren birgt, zeigt eindrucksvoll ein Leak der Fingerabdrücke und Gesichtserkennungsdaten, die für über eine Million Menschen unverschlüsselt und ungehasht im Internet abrufbar waren. Das web-basierte(!) biometrische Schließsystem Biostar 2 wird von über 5.000 Organisationen in 83 Ländern genutzt, darunter Regierungen, Banken, Rüstungsproduzenten und die Metropolitan Police von Großbritannien. Über eine relativ simple Manipulation einer URL, welche eine […]

News

Guiness Book of GDPR: Rekord-Datenschutzbußgelder

Die Webseite „GDPR Enforcement Tracker“ versucht, die Bußgelder zusammenzutragen, die Datenschutzbehörden in der EU nach der DSGVO verhängt haben. Da die Liste aus verschiedenen Gründen notwendigerweise nicht vollständig ist und ständiger Veränderung unterliegt, sind weitere Meldungen willkommen. Die beiden höchsten Einträge (> 200 Mio. € bzw. > 100 Mio. €) sind übrigens die im letzten Digest berichteten Strafen für British Airways und Marriott International. http://www.enforcementtracker.com/

News

GDPArrrrrrrrgh! DSGVO ermöglicht Datenklau

Der Vortrag des Oxforder PhD-Studenten James Pavur auf der Black Hat hat gezeigt, dass man mit Verweis auf die DSGVO per Abfrage der angeblich „eigenen“ Informationen viele teils streng private Daten von anderen erschleichen kann. Ein von seiner Freundin erlaubtes Experiment mit ihren Accounts ergab, dass 24 % der Firmen ihm ohne weitere Prüfung ihre sämtlichen persönlichen Daten preisgaben. Immerhin 16 % fragten zunächst weitere Nachweise wie Identitätsinformationen an, welche aber häufig leicht zu fälschen waren. Und 5 bzw. 3 % besonders […]

News

Kinky Fun for Attackers: Dating Apps leaken Privatestes

Über die Dating-App „3fun“ soll man „lokale kinky, offene Menschen“ finden können. Doch wie Ken Munro vom Unternehmen Pen Test Partners aufzeigte, konnten durch eklatante Sicherheitslücken die privatesten Daten von mehr als 1,5 Millionen Menschen des Gruppen-Dating-Dienstes potenziell extrahiert werden, inklusive Bilder, Präferenzen – und Lokation. Letztere war laut den Forschern bei einigen Nutzern auf das Weiße Haus, den US-Supreme-Court und die Downing Street Nr. 10 gesetzt, was aber nicht zwangsweise der Wahrheit entsprechen muss. https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/

News

NULL != Nichts. Scherzkeks stellt sich selbst ein Bein

Ein Prank (Scherz) des amerikanischen Hackers „Droogie“, die automatische Kfz-Kennzeichenerkennung zu foppen, ist gewaltig schiefgegangen. Zwar speicherte das System der Behörde DMV sein selbst gewähltes Kennzeichen brav wörtlich als die Zeichenkette „NULL“ ab, die er beantragt und erhalten hatte. Wie er auf der Konferenz Black Hat berichtete, ordnete das System aber in dem Moment, als er tatsächlich einmal „geblitzt“ wurde, ihm automatisch alle Geschwindigkeitsüberschreitungsvergehen zu, die kein korrekt erkanntes Kennzeichen enthielten (Wert (NULL) in der Datenbank). Wie es mit den […]

News

Lesetipps August 2019

Offene Bücher Onboarding neuer Mitarbeiter im Bereich der Security ist eine Herausforderung – und einer der wesentlichen Faktoren für eine erfolgreiche, langfristige Zusammenarbeit. Moderne „remote first“ / „remote only“-Firmen wie GitLab sind inzwischen dazu übergegangen, Prozessbeschreibungen und Handbücher öffentlich zu machen. So können sich nicht nur zukünftige Mitarbeiter, Bewerber oder Interessenten ein sehr genaues Bild über die Arbeitsbedingungen machen, sondern die ganze Branche profitieren. Ein wahres Füllhorn von Informationen und Best Practices zu Themen wie Endpoint Security, IAM und Zero […]

Blockchain

Proof of Does Not Work? E-Voting unsicher – „trotz“ Blockchain

Bei demnächst anstehenden Wahlen zum Moskauer Stadtparlament soll ein neues System zum Einsatz kommen, welches eine Wahlbeteiligung via Privatrechner und Smartphone erlaubt. Die Software, welche als erste ihrer Art produktiv eine Blockchain(!) einsetzt, um die Integrität der Daten zu sichern, wurde nun von Wissenschaftlern des französischen nationalen Forschungsinstituts für digitale Wissenschaften INRIA auseinandergenommen. Eine kritische Schwachstelle in der eingesetzten Kryptographie erlaubt es jedem, der an eine Kopie der verschlüsselten Daten gelangt, die Wahlentscheidungen aller teilnehmenden Bürger mit einem handelsüblichen Rechner […]

News

Endspurt vor dem Brexit? Rekord-Datenschutzbußgelder in Großbritannien

Die britische Datenschutzaufsichtsbehörde hat wegen eines Datenschutzvorfalls ein Bußgeld über 205 Millionen Euro gegen British Airways verhängt. Interessanterweise hatten diese den Vorfall selbst gemeldet, weswegen die Firma Widerspruch gegen die Entscheidung einlegen will. Ein weiteres Bußgeld von rund 110 Millionen Euro droht Marriott International. Auch hier ist der Grund ein Datenschutzvorfall.
Aber nicht nur auf der Noch-EU-Insel wird es ernst: Die Niederländer haben gegen ein Krankenhaus ein Bußgeld von 460.000 Euro verhängt. Grund war, dass die Patientenakte eines Prominenten zu vielen Personen zugänglich gemacht wurde (Art. 32 DSGVO).

Cloud

Alles ist verbunden – Multiple Single Points of Failure

Von großen – im Sinn von weitreichenden – Cloudausfällen war an dieser Stelle und in den Weiten des Internets in letzter Zeit häufig zu hören. Denn je mehr der Markt reift (sprich, je mehr Unternehmen relevante Teile ihrer Infrastruktur in die Wolke verlagern) und je mehr sich der Kuchen des Cloud-Geschäfts im Wesentlichen auf eine Handvoll großer Cloudanbieter und ein paar Dutzend Security-Services-Anbieter verteilt, desto größer kann der Impact eines einzelnen Zwischenfalls sein. Nun war Cloudflare an der Reihe, dies […]

News

Bisschen bipartisan schadet nie: Securing Energy Infrastructure Act verabschiedet

Der US-Senat hat ein von Abgeordneten beider großen Parteien („bipartisan“) eingebrachtes Gesetz zum Schutz der Stromnetze verabschiedet: Der „Securing Energy Infrastructure Act (SEIA)“ schafft ein auf zwei Jahre angelegtes Pilotprogramm, um Möglichkeiten zu erforschen, das Grid zukünftig durch „Low-Tech“ resilienter gegen Cyberattacken zu machen. Entgegen dem allgemeinen Trend der Automatisierung und Vernetzung sollen wieder verstärkt „analoge und nicht-digitale Geräte“ zum Einsatz kommen.