Kategorie: Golem.de – Security

RSA 2018: Sicherheitskonferenz mit Datenleck

Erneut hat die Sicherheitskonferenz RSA ein Problem mit der eigenen Infrastruktur. Über die API einer App hätten die Namen aller Teilnehmer ausgelesen werden können. Es ist nicht das erste Mal, das dort so ein Problem auftaucht. (Sicherheitslücke, Server-Applikationen)   Advertise…

Security: Iranische Hacker erlangen Daten von 23 deutschen Unis

Wissenschaftliche Dokumente und Dissertationen: Iranische Hacker haben Zugang zu Daten von mehreren deutschen wissenschaftlichen Instituten erhalten. Die Spur führt zum Mabna-Institut in Teheran – eine Einrichtung, die bereits öfter in den Medien auftauchte. (Cybercrime, Instant Messenger)   Advertise on IT…

Security: Iranische Hacker erlangen Daten von 25 deutschen Unis

Wissenschaftliche Dokumente und Dissertationen: Iranische Hacker haben Zugang zu Daten von mehreren deutschen wissenschaftlichen Instituten erhalten. Die Spur führt zum Mabna-Institut in Teheran – eine Einrichtung, die bereits öfter in den Medien auftauchte. (Cybercrime, Instant Messenger)   Advertise on IT…

Deutsche Telekom: Gericht bestätigt Stopp von Vorratsdatenspeicherung

Die Telekommunikationsprovider sind nicht zur anlasslosen Speicherung von Verbindungs- und Standortdaten verpflichtet. Dazu gibt es nun erstmals ein Urteil in einem Hauptsacheverfahren zugunsten der Deutschen Telekom. (Vorratsdatenspeicherung, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Deutsche…

Relieve Stress Paint Tool: Mal-Malware kopiert Facebook-Zugangsdaten

Eine Malware tarnt sich mit gefälschten Unicode-Domains und sucht gezielt nach Facebook-Zugangsdaten. Nutzern wird hingegen ein Anti-Stress-Malprogramm versprochen. (Malware, Virus)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Relieve Stress Paint Tool: Mal-Malware kopiert Facebook-Zugangsdaten

Patscherkofel: Gondelbahn mit Sicherheitslücken

Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können – trotzdem beschwichtigt der Hersteller. (IoT, Verschlüsselung)   Advertise on IT Security News. Lesen…

Grenzenloser Datenzugriff: Was der Cloud-Act für EU-Bürger bedeutet

Neue Gesetze in den USA und der EU könnten den Weg für einen ungehinderten und schnellen weltweiten Datenzugriff von Ermittlungsbehörden ebnen. Datenschützer und IT-Wirtschaft sehen die Pläne jedoch sehr kritisch. (Datenschutz, Microsoft)   Advertise on IT Security News. Lesen Sie…

Android und iOS: Operas VPN-App wird zum 30. April eingestellt

Opera stellt weitere Dienste ein. Nach Opera Max werden die VPN-Apps für iOS und Android zum 30. April eingestellt. Es gibt allerdings Angebote, die den Abschied erleichtern sollen. (Opera, Browser)   Advertise on IT Security News. Lesen Sie den ganzen…

Android: Google integriert sichere DNS-Abfrage in Android P

In der kommenden Android-Version mit dem Anfangsbuchstaben P führt Google DNS over TLS ein. Damit würden DNS-Abfragen über einen sicheren Kanal erfolgen. Nutzer können in den Einstellungen auch einen eigenen Hostnamen eingeben oder die Funktion abstellen. (Android P, Google)  …

Russische IT-Angriffe: BSI sieht keine neue Gefahren für Router-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Stellungnahme zu den angeblichen Angriffen aus Russland veröffentlicht. Das liest sich deutlich anders als die Vorwürfe aus Großbritannien und den USA. (Security, Netzwerk)   Advertise on IT Security News. Lesen Sie…

Russische Angriffe: BSI sieht keine neue Gefahren für Router-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Stellungnahme zu den angeblichen Angriffen aus Russland veröffentlicht. Das liest sich deutlich anders als die Vorwürfe aus Großbritannien und den USA. (Security, Netzwerk)   Advertise on IT Security News. Lesen Sie…

Elektronische Beweise: EU-Kommission fordert weltweiten Zugriff auf Daten

Die EU-Kommission will keine „Schlupfwinkel für Straftäter und Terroristen“ im Netz dulden. Anbieter sollen auf Anforderung digitale Beweismittel sofort herausgeben. Egal wo der Server steht. (Datenschutz, Microsoft)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Elektronische Beweise:…

Cybersecurity Tech Accord: IT-Branche verbündet sich gegen Nationalstaaten

Mit einem neuen Bündnis will die IT-Branche sich weltweit gegen Übergriffe von Staaten und Kriminellen wappnen. Einige der Unterzeichner haben jedoch am umstrittenen Prism-Programm der US-Regierung teilgenommen. (Politik/Recht, Microsoft)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Zensur: Russland zensiert 15 Millionen IPs für Telegram-Sperre

Um den Messenger Telegram zu blockieren, nimmt die russische Regierung offensichtlich den teilweisen Ausfall großer Clouddienste hin. Derzeit werden rund 15 Millionen IP-Adressen gesperrt – Tendenz stark steigend. (Telegram, Instant Messenger)   Advertise on IT Security News. Lesen Sie den…

Datensicherheit: Frankreich entwickelt Whatsapp-Ersatz für Spitzenpolitiker

Noch exklusiver geht kaum: Rund 20 französische Politiker dürfen derzeit einen extra für sie programmierten Messenger ausprobieren. Er basiert auf frei zugänglichem Code und soll potenziell unsichere Systeme wie Whatsapp und Telegram ersetzen. (Whatsapp, Instant Messenger)   Advertise on IT…

Denial of Service: Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

Auf Facebook werden auch kriminelle Dienstleistungen beworben. Das soziale Netzwerk hat auf Berichte reagiert und Gruppen mit mehr als 300.000 Mitgliedern entfernt. Künftig soll das automatisiert geschehen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen…

CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt

Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet. (Drupal, CMS)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Gasträume: Wire führt verschlüsselte Gästechats ein

Business-Kunden von Wire können künftig sichere Chats mit Kunden durchführen, ohne dass diese einen Account erstellen müssen. Die Funktion könnte für Ärzte, Rechtsanwälte oder Steuerberater interessant sein. (Verschlüsselung, Instant Messenger)   Advertise on IT Security News. Lesen Sie den ganzen…

Messenger: Whatsapp künftig offenbar erst ab 16 Jahren erlaubt

Schon jetzt spielt das Mindestalter von 13 Jahren für die Nutzung von Whatsapp in der Praxis kaum eine Rolle. Trotzdem will der Messenger offenbar den Zugang wegen der ab Mai 2018 gültigen Datenschutzgrundverordnung auf 16 Jahre erhöhen. (Whatsapp, Soziales Netz)…

Terrorismus: EU-Kommission will Fingerabdrücke in allen Personalausweisen

Um gegen Dokumentenfälschung und Kriminalität vorzugehen, will die EU-Kommission künftig verpflichtend Fingerabdrücke und andere biometrische Merkmale europaweit im Personalausweis festhalten. Oppositionspolitiker sehen die „Abkehr vom liberalen Rechtsstaat“. (E-Personalausweis, Biometrie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Google: Gmail könnte E-Mails mit Ablaufdatum bekommen

In einer E-Mail an G-Suite-Administratoren hat Google ein Redesign von Gmail angekündigt – dazu könnten auch neue Funktionen wie E-Mails mit Ablaufdatum gehören. Diese wären nur eine vordefinierte Zeit lang lesbar; realisiert wird das Konzept offenbar über Links. (Gmail, Google)…

Messenger: Russland blockiert Telegram

Nutzer in Russland können künftig nicht mehr über Telegram miteinander kommunizieren. Ein Gericht in Moskau setzt damit eine schon länger angedrohte Sperre um. (Instant Messenger, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Messenger: Russland blockiert…

Verschlüsselung: Apps müssen in Android P standardmäßig verschlüsseln

Unverschlüsselte Verbindungen von Android-Apps werden ab Android P automatisch abgewiesen. Ausnahmen von dieser Regel müssen explizit in den Netzwerkeinstellungen zugelassen werden. (Android P, Android)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Verschlüsselung: Apps müssen in Android…

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online. (BeA, Java)   Advertise on IT…

Sicherheitspatches: Hersteller von Android-Smartphones gaukeln Sicherheit vor

Einige Hersteller von Android-Smartphones wurden beim Schummeln erwischt. Wie Sicherheitsforscher herausgefunden haben, bedeutet ein aktueller Sicherheitspatch keineswegs, dass das Gerät sicher ist. Mancher Hersteller ändert nur das Patch-Datum ohne Lücken zu schließen. (Android, Smartphone)   Advertise on IT Security News.…

Windows 7, 8.1 und 10: Kein Registry-Eintrag für Sicherheitsupdates mehr nötig

Keine Registry-Schlüssel mehr: Microsoft hat die Bedingung entfernt, die Windows-PCs vom Aktualisieren abhielt. Das war im Januar 2018 wohl notwendig – Meltdown und Spectre hatten Priorität und Antivirensoftware konnte Abstürze bei den schnell entwickelten Updates hervorrufen. (Windows, Microsoft)   Advertise…

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat. (Facebook, Google)   Advertise…

Spring Creators Update: Warten auf den Windows-Frühlingspatch

Auf vielen Webseiten ist von einem Release des Spring Creators Updates am 10. April die Rede gewesen, was Microsoft selbst jedoch nie bestätigt hat und offensichtlich falsch ist. Stattdessen erhalten Windows Insider einen Patch für die Vorbereitung des Updates und…

Verimi: Deutsche Konzerne starten Single Sign-on

Ein Zusammenschluss mehrerer Unternehmen hat mit Verimi einen deutschen Login-Dienst gestartet. Er steht in direkter Konkurrenz zu den Single Sign-ons von Facebook und Google und soll ein hohes Maß an Datenschutz gewährleisten. (Identitätsmanagement, OpenID)   Advertise on IT Security News.…

Vor Anhörungen: Zuckerberg nimmt alle Schuld auf sich

Wenn Mark Zuckerberg sein T-Shirt gegen Anzug und Krawatte tauscht, scheint es ernst um Facebook bestellt. Das vorab verbreitete Statement über sein „idealistsches Unternehmen“ dürfte die US-Parlamentarier aber nicht besänftigen. (Facebook, Google)   Advertise on IT Security News. Lesen Sie…

Travis CI: Falsch gesetzte Variable führt zu gelöschter Datenbank

Der mit Github genutzte Dienst Travis-CI war für mehrere Stunden nicht erreichbar. Der Grund ist offenbar eine falsch gesetzte Variable eines Entwicklers, die zum Verlust der Produktivdatenbank geführt hat. Eventuell waren Nutzerdaten für andere einsehbar. (Datenbank, Server-Applikationen)   Advertise on…

Sicherheit: Zugang zu 10.000 Kundendaten im ungesicherten Onlineshop

Daten unverschlüsselt im Netz zu speichern, ist bekannterweise nicht sinnvoll. Ein britischer Onlinehandel für Drohnen hat trotzdem Kundendaten, Kreditkarteninformationen und Transaktionen in Klartext abgelegt. Die britische Regierung ist betroffen und verlangt eine Löschung. (E-Commerce, Onlineshop)   Advertise on IT Security…

Bundesregierung: BKA knackt schwache Passwörter ohne Supercomputer

Die Bundesregierung hat erläutert, wie das Bundeskriminalamt und die Zollverwaltung versuchen, Passwörter herauszufinden oder Verschlüsselung zu brechen. (Zitis, Instant Messenger)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bundesregierung: BKA knackt schwache Passwörter ohne Supercomputer

Facebook: Verschärfte Regeln für Politwerbung und beliebte Seiten

In der Debatte über eine mögliche Beeinflussung von Wahlen durch gezielte Werbung will Facebook mehr Transparenz erzwingen. Virale Kampagnen über anonyme Profile sollen ebenfalls erschwert werden. (Facebook, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Facebook:…

T-Mobile Österreich: Klartextpasswörter und „amazing Security“ bei T-Mobile.at

Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern. (T-Mobile, PHP)   Advertise on IT…

GNU Patch: Holey Beep verrät Zeroday in Patch-Tool

Eine scherzhafte Webseite über eine Sicherheitslücke im Piepston-Tool beep verrät zwar keine Details darüber – dafür enthält sie aber einen Hinweis auf eine Sicherheitslücke im Patch-Tool. Für die beep-Lücke gibt es außerdem zwischenzeitlich einen Proof of Concept. (Linux, Sicherheitslücke)  …

Spionagegefahr: Bundesnetzagentur verbietet GPS-Tracker mit Abhörfunktion

Gegen einfache Ortungsgeräte hat die Bundesnetzagentur nichts einzuwenden. Doch in Kombination mit Mikrofonen sieht sie darin unzulässige Sendeanlagen. (Spielzeug, GPS)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Spionagegefahr: Bundesnetzagentur verbietet GPS-Tracker mit Abhörfunktion

Facebook Messenger: Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht

Es kann durchaus praktisch sein, wenn das eigene Unternehmen die Kommunikationskanäle kontrolliert. Facebooks Firmenchefs wissen das für ihre Zwecke auszunutzen. (Facebook, Apple)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Facebook Messenger: Zuckerbergs Nachrichten heimlich auf Nutzerkonten…

Microsoft: Office 365 wird besser gegen Ransomware geschützt

Um vor Ransomware und schädlichen Links zu schützen, verbessert Microsoft sein Office 365 und Onedrive mit Funktionen wie einer Datenwiederherstellung, passwortgeschützten Sharing-Links und verschlüsseltem E-Mail-Verkehr in der Cloud. Die Maßnahmen kommen nicht nur für Business-Konten. (Office 365, Microsoft)   Advertise…

Apples Dateisystem: APFS-Probleme bleiben bestehen

Nach dem letzten Problem rund um die Klartextspeicherung von Passwörtern zu verschlüsselten APFS-Datenträgern stellt sich nach weiteren Untersuchungen heraus, dass die Passwörter mit 10.13.4 weiter lesbar sind. Die Passwörter verbleiben auch nach dem Patch in den Logs. (APFS, Apple)  …

Windows Defender: Microsoft baut Sicherheitslücke bei Bug-Fix ein

Für seine Malware-Analyse-Engine nutzt Microsoft offenbar einen internen Fork des Werkzeugs Unrar. Beim Beheben von möglichen Sicherheitslücken hat das Team aber selbst eine eingebaut. Google hat diese Lücke gefunden und Microsoft stellt ein Update bereit. (Project Zero, Microsoft)   Advertise…

Böswillige Akteure: Die meisten der zwei Milliarden Facebook-Profile ausgelesen

Nicht nur im Datenskandal um Cambridge Analytica könnten Zigmillionen Facebook-Nutzer zusätzlich betroffen sein. Das soziale Netzwerk schränkte nun die Suchfunktion ein, nachdem ein umfangreicher Missbrauch entdeckt wurde. (Facebook, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Natus Neuroworks: Sicherheitslücken in Gehirnscan-Software entdeckt

Der Scan der Hirnaktivitäten ist nicht gefährdet, das Krankenhaus aber schon: Sicherheitsexperten haben Schwachstellen in der Software von EEG-Geräten gefunden, die es ermöglichen, Code auf dem Gerät auszuführen und sich Zugriff auf das Krankenhausnetz zu verschaffen. (Security, Cisco)   Advertise…

beep: Sicherheitslücke im Piepstool für Linux

Das Kommandozeilentool „beep“ dient eigentlich nur dazu, einen Piepston auf dem PC-Speaker auszugeben. Doch jetzt wurde eine Sicherheitslücke darin entdeckt – mit der man Root-Rechte erlangen kann. (Linux, Debian)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

DSGVO: Zuckerberg will EU-Datenschutz nicht weltweit anwenden

Die neuen EU-Regeln der Datenschutz-Grundverordnung seien angeblich bereits mehrheitlich in den Privatsphäre-Einstellungen von Facebook integriert. Weltweit sollten sie aber nur „im Geist“ umgesetzt werden. (Facebook, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: DSGVO: Zuckerberg will…

Datenschutz: Adressverkauf der Post an CDU und FDP wird geprüft

Zwar hat eine Post-Tochter nur anonymisierte Daten für die Bundestagswahl 2017 verkauft. Datenschützer sehen durch die Verknüpfung vieler Daten dennoch Manipulationsgefahren. (Facebook, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz: Adressverkauf der Post an CDU…

Soziale Netzwerke: Datenschlampereien mit HIV-Status und Videodateien

Die Liste wird länger: Beim US-Datingportal Grindr und bei Facebook sind besonders krasse Fälle von nicht korrektem Umgang mit Daten von Nutzern bekanntgeworden. Vermutlich steckt hinter beiden Fällen schlicht Schlamperei. (Datenschutz, Film)   Advertise on IT Security News. Lesen Sie…

Panera Bread: Café-Kette exponiert Millionen Kundendaten im Netz

Sicherheitsexperten zufolge sollen die persönlichen Daten von bis zu 37 Millionen Kunden einer großen Kette von Bäckerei-Cafés in den USA frei zugänglich gewesen sein – und das seit mindestens acht Monaten. Bei seiner Reaktion macht das Unternehmen offenbar fast alles…

Vorratsdatenspeicherung: Warum Provider keine Verdächtigen mehr orten wollen

Die Ortung von Verdächtigen durch die Provider gehört zum Standardrepertoire vieler Fernsehkrimis. Doch in der Praxis gibt es nun Ärger, weil die Deutsche Telekom und Vodafone keine Standortdaten mehr herausgeben wollen. (Vorratsdatenspeicherung, Datenschutz)   Advertise on IT Security News. Lesen…

Mark Zuckerberg: „Wir werden uns aus diesem Loch herausgraben“

Facebook-Chef Mark Zuckerberg rechnet nach dem Datenskandal nicht mit einer schnellen Lösung der aktuellen Datenschutzprobleme: „Ich wünschte, ich könnte all diese Probleme in drei oder sechs Monaten lösen, aber ich denke, die Realität ist, dass es bei einigen dieser Fragen…

Mobilfunkgipfel angekündigt: Scheuer hält deutsches Mobilfunknetz für „untragbar“

Der neue Verkehrsminister Andreas Scheuer will die Funklöcher im deutschen Mobilfunknetz möglichst schnell beseitigen. Denn der Zustand des Netzes sei „für eine Wirtschaftsnation untragbar“. (Bundesregierung, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Mobilfunkgipfel angekündigt: Scheuer…

eCall: Automatisches Notrufsystem für Autos kommt

Ab dem 31. März 2018 müssen neue Automodelle über den automatischen Notruf eCall verfügen, eine Nachrüstung schreibt der Gesetzgeber aber nicht vor. Mit sogenannten Unfallmeldesteckern können Autofahrer ein Notrufsystem auch im Gebrauchtwagen nutzen. (Auto, GPS)   Advertise on IT Security…

DSGVO: Apple kennzeichnet Datenabfragen mit eigenem Logo

Wer Apple-Produkte nutzt, soll künftig durch ein einheitliches Logo über Datenverarbeitung informiert werden. Außerdem wird es Möglichkeiten geben, die eigenen Daten zu korrigieren und Accounts stillzulegen. (Apple, iPhone)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: DSGVO:…

Malware: Wanna Cry befällt Boeing

Fast ein Jahr nach dem ersten Ausbruch von Wanna Cry wurde der Flugzeugbauer Boeing befallen. Anders als zunächst angenommen hatte das aber keine Auswirkungen auf die Flugzeugfertigung. (Windows XP, Windows)   Advertise on IT Security News. Lesen Sie den ganzen…

BeA: Secunet findet noch mehr Lücken im Anwaltspostfach

Aus einem Schreiben der Bundesrechtsanwaltskammer geht hervor, dass bei einem Sicherheitsaudit des BeA-Systems noch mehr Sicherheitslücken gefunden wurden. Die Sicherheitsüberprüfung soll Mitte Mai abgeschlossen sein und dann auch veröffentlicht werden. (BeA, Verschlüsselung)   Advertise on IT Security News. Lesen Sie…

Cambridge Analytica: Daten von 136.000 US-Bürgern noch immer im Umlauf

Eigentlich sollten alle mit dem Datenskandal verbundenen Informationen gelöscht werden. Der britische Channel 4 aber hat Interviews mit US-Bürgern geführt und dabei aufbereitete Daten von Cambridge Analytica verwendet – mit Details und auch einigen falschen Informationen. (Soziales Netz, Rechtsstreitigkeiten)  …

Extrem kritische Lücke: Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update. (Drupal, CMS)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Extrem kritische Lücke: Beliebige Nutzer…

Soziales Netzwerk: Facebook führt neue Privacy-Werkzeuge ein

Künftig sollen Nutzer ihre Privatsphäreeinstellungen bei Facebook leichter finden und verwalten können. Auch sollen bessere Informationen zur Verfügung gestellt werden. Facebook erfüllt damit Auflagen der kommenden EU-Datenschutzverordnung. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen…

Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit

Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden. (APFS, Apple)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Externe…

Speichermanagement: Meltdown-Patch für Windows 7 selbst eine Sicherheitslücke

Ein Patch sollte Sicherheitsprobleme beheben, nicht schlimmer machen. Microsoft ist das mit dem Meltdown-Patch in Windows 7 passiert. Mittlerweile gibt es Abhilfe. (Meltdown, Microsoft)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Speichermanagement: Meltdown-Patch für Windows 7…

Firefox: Mozilla sperrt Facebook in den Container

Ein Addon soll die Privatsphäre von Facebook-Nutzern zumindest ein wenig besser schützen: Facebok Container. Dem sozialen Netzwerk wird so der Zugriff auf Informationen anderer Webseiten versperrt. (Facebook, Firefox)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Firefox:…

Hohe Bußgelder drohen: FTC ermittelt wegen Facebooks Datenschutzpraktiken

Theoretisch droht Facebook in den USA ein Bußgeld von 2.000.000.000.000 US-Dollar. Auch wenn der aktuelle Datenskandal vielleicht nicht illegal war, könnte die US-Behörde FTC auf weitere Probleme stoßen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den…

Kryptobibliotheken: Die geheime Kryptosoftware-Studie des BSI

Das BSI hat für ein Projekt verschiedene Kryptobibliotheken untersuchen lassen, behält die Ergebnisse jedoch für sich. Golem.de liegt die Analyse mit vielen Details über die Bibliotheken NSS, LibreSSL und Botan dank des Informationsfreiheitsgesetzes vor, darf sie aber nicht veröffentlichen. (BSI,…

Malware: Chef der Carbanak-Bande in Alicante festgenommen

Die Carbanak-Gruppe hat seit 2013 durch Angriffe auf Banken über eine Milliarde Euro an Schaden verursacht. Bei einer koordinierten Polizeiaktion wurde der Gründer und „Mastermind“ in Alicante festgenommen. (Phishing, Virus)   Advertise on IT Security News. Lesen Sie den ganzen…

Load Balancing: Google schützt mit Cloud-Armor vor DDoS-Angriffen

Mit Cloud Armor bietet auch Google ab sofort einen kommerziellen Schutz vor DDoS-Angriffen an. Bislang hatte Alphabet einen solchen Dienst nur für Nachrichtenseiten und Menschenrechtler im Angebot. (Google, SQL)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Sicherheitslücke: Microsoft unterbindet RDP-Anfragen von ungepatchten Clients

Eine kritische Sicherheitslücke in Microsofts Credential Security Support Provider versetzt Angreifer in die Lage, beliebigen Code auszuführen. Deswegen unterbindet das Unternehmen demnächst Verbindungsversuche ungepatchter Clients, Admins sollten also schnell handeln. (Microsoft, Server-Applikationen)   Advertise on IT Security News. Lesen Sie…

Logdateien: Facebook sichert sich Anrufmetadaten von Androidnutzern

Das soziale Netzwerk Facebook ist weiter massiver Kritik ausgesetzt. Das sorgt dafür, dass einzelne Nutzer sich sehr genau anschauen, was im Netzwerk passiert. Einer entdeckte dabei, dass die App sich Daten der Telefonhistorie über Jahre sicherte. Ars Technica bestätigt dies…

Logdateien: Facebook sicherte sich Anrufmetadaten von Androidnutzern

Das soziale Netzwerk Facebook ist weiter massiver Kritik ausgesetzt. Das sorgt dafür, dass einzelne Nutzer sich sehr genau anschauen, was im Netzwerk passiert. Einer entdeckte dabei, dass die App sich Daten der Telefonhistorie über Jahre sicherte. Ars Technica bestätigt dies…

IP-Adresse: Guccifer 2.0 arbeitet beim GRU

Ein Mitarbeiter des russischen Geheimdienstes hat offenbar einmal vergessen, sein VPN zu aktivieren. Der Fehler liefert neue Hinweise auf die russische Urheberschaft des Hacks der Demokratischen Partei in den USA im Jahr 2016. (Hacker, Datenschutz)   Advertise on IT Security…

Sicherheitslücke: Gitlab-Lücke ermöglicht Code-Ausführung

Das Entwicklerteam der freien Code-Hosting-Software Gitlab warnt vor Sicherheitslücken in der Community- und Enterprise Edition. Angreifer können die Authentifizierung umgehen oder auch Schadcode ausführen. Updates stehen bereit. (Gitlab, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Datenskandal: Bundestag unzufrieden mit Facebooks Antworten

Kann Facebook überhaupt kontrollieren, was mit den Nutzerdaten geschieht, die über die API abfließen? Der Bundestagsausschuss Digitale Agenda will das von dem Netzwerk wissen und wundert sich über fehlende Antworten. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen…

Nachrichten-Vorlesen: Siri soll bald schweigen

Apple will die Siri-Sicherheitslücke mit einem Update schließen. Dann sollen Benachrichtigungen von Apps nicht mehr bei gesperrtem iPhone per Sprachassistent vorgelesen werden können. (Siri, Smartphone)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Nachrichten-Vorlesen: Siri soll bald…

Malware: Kaspersky veröffentlicht US-Malware und will in die Schweiz

Kaspersky soll mit der Veröffentlichung der Slingshot-Malware Antiterroroperationen der USA behindert haben. Das Unternehmen sagt, den Urheber der Malware nicht zu kennen – und alle Nutzer schützen zu wollen. Ausserdem will Kaspersky Schweizer Server anmieten. (Kaspersky, Virus)   Advertise on…

IMSI Privacy: 5G macht IMSI-Catcher wertlos

Weil die IMSI-Nummer verschlüsselt wird, kann künftig nur noch der Netzbetreiber wissen, wer gerade im Netz eingeloggt ist. Das wird Folgen haben für umstrittene Ermittlungsmethoden wie den IMSI-Catcher. (5G, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen…

Sicherheitsproblem: Siri verrät Inhalte gesperrter Benachrichtigungen

Apples Sprachassistent Siri kann die Inhalte von Benachrichtigungen vorlesen – leider auch solche, die erst nach Entsperrung des Smartphones freigegeben werden sollten. (Siri, Smartphone)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitsproblem: Siri verrät Inhalte gesperrter…

Vernetzte Yachten: Auch schwimmende IoT-Systeme sind nicht sicher

Ein Hersteller von Yacht-Vernetzungssystemen hat offenbar nicht auf die Sicherheit geachtet. So wurden Konfigurationsdateien mit Passwörtern über eine unverschlüsselte FTP-Verbindung übertragen. (Sicherheitslücke, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Vernetzte Yachten: Auch schwimmende IoT-Systeme sind…

IETF 101: TLS 1.3 ist jetzt wirklich fertig

Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen. (Security, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: IETF 101:…

Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an

Der Prozessorhersteller AMD will Schwachstellen in Ryzen- und Epyc-CPUs beheben. Die Veröffentlichung der Bugs hatte in der Sicherheitsszene für Diskussionen gesorgt. (AMD, Prozessor)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Umstrittene Sicherheitslücken: AMD kündigt Ryzenfall-Patches an

Messenger: Telegram soll in Russland geheime Schlüssel offenlegen

Der umstrittene Messenger Telegram soll den russischen Behörden seine Verschlüsselung offenlegen. Experten warnen allerdings ohnehin vor der Nutzung der Software. (Telegram, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Messenger: Telegram soll in Russland geheime Schlüssel…

Datenschutz: Caspar warnt Whatsapp vor Datenweitergabe an Facebook

Whatsapp könnte bald einen neuen Versuch starten, massenhaft Nutzerdaten an Facebook weiterzuleiten. Der Hamburger Datenschützer Johannes Caspar will sich in der Debatte nicht ausbooten lassen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz:…

Datenschutz bei Domains: Wattislos bei Whois?

Die Datenschutzgrundverordnung sorgt nicht nur bei vielen Unternehmen für rege Betriebsamkeit, sondern auch bei Registraren und Icann. Die geplanten Neuregelungen könnten für Sicherheitsforscher und Journalisten zum Problem werden. (Icann, Spam)   Advertise on IT Security News. Lesen Sie den ganzen…

BeA: Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

Das besondere elektronische Anwaltspostfach (BeA) lässt weiter auf sich warten. Jetzt fordern Anwälte, dass das System nur mit einer Ende-zu-Ende-Verschlüsselung online gehen darf – und wollen das auch einklagen. (BeA, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den…

Cambridge Analytica: Wahlkampf für Trump mit 50 Millionen Facebook-Profilen

Über eine bezahlte Studie haben Nutzer eine App installiert, welche die Daten ihrer Facebook-Profile die der Facebook-Kontakte sammelte. Ein Analysetool konnte dann ihre Vorlieben und Ängste vorhersehen. Trump konnte das wohl zu seinem Vorteil nutzen. Ein Gründer von Cambridge Analytica…

Strafe verhängt: Diese Nutzerdaten teilt Whatsapp weiterhin mit Facebook

Angeblich gibt Whatsapp derzeit keine sensiblen Daten von EU-Bürgern zur Nutzung an Facebook weiter. Die spanische Datenschutzbehörde sieht das jedoch anders und verhängt hohe Bußgelder. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Strafe…

Troopers 2018: „Responsible Disclosure hilft nur dem Hersteller“

Mit einem streitbaren Konzept will der Hacker Graeme Neilson mehr Kommunikation zwischen Sicherheitsforschern und Nutzern von Technologie schaffen. Er ist überzeugt, dass das klassische Modell von Responsible Disclosure nicht funktioniert. (Sicherheitslücke, Internet)   Advertise on IT Security News. Lesen Sie…

McFadden-Prozess: OLG München bestätigt Abschaffung der Störerhaftung

Das OLG München hält die Abschaffung der Störerhaftung für europarechtskonform. Altfälle müssen demnach nur noch die Abmahngebühren zahlen. (Störerhaftung, WLAN)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: McFadden-Prozess: OLG München bestätigt Abschaffung der Störerhaftung

Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit. (E-Mail,…

Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst ungefixt

Bei der Untersuchung einer Security-Appliance von Check Point fanden Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit. (E-Mail, PHP)…

Ryzenfall: CTS Labs rechtfertigt sich für eigene Disclosure-Strategie

Das umstrittene Sicherheitsunternehmen CTS Labs hat sich für seine eigene Disclosure-Strategie bei Sicherheitslücken in Ryzen- und Epyc-Chips gerechtfertigt. Das Unternehmen äußert grundlegende Kritik am Industriemodell der Responsible Disclosure. (Reverse Engineering, Prozessor)   Advertise on IT Security News. Lesen Sie den…

Datenschutz: Whatsapp plant rechtskonforme Datenweitergabe an Facebook

Die Weitergabe von Nutzerdaten zwischen Whatsapp und Facebook ist innerhalb der EU unzulässig. Doch der US-Konzern gibt nicht auf und könnte bald einen neuen Versuch starten. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

HTTPS: Let’s Encrypt rollt Wildcard-Zertifikate aus

Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let’s Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls. (Let's Encrypt, Technologie)   Advertise on IT Security News. Lesen Sie den…

Große Koalition: Vom Wollen und Werden der Digitalisierung

Im Digitalisierungskapital des Koalitionsvertrags ist 100-mal von „werden“ und 76-mal von „wollen“ die Rede. Im Vergleich zu 2013 haben Union und SPD aus einigen Fehlern gelernt. (Bundesregierung, Open Access)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Websicherheit: Apple-Datei auf Webservern verrät Verzeichnisinhalte

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut und einen Scan auf die größeren Webseiten im Web durchgeführt. Er fördert Erstaunliches zutage. (Apple, Mac OS X)  …

Ryzenfall: Unbekannte Sicherheitsfirma veröffentlicht Quatsch zu AMD

Eine Firma aus Israel will spektakuläre Informationen zu Sicherheitslücken bei AMD veröffentlicht haben. Doch bei näherem Hinsehen erweist sich die Veröffentlichung selbst als missratene Sprungvorhersage. (AMD, WordPress)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Ryzenfall: Unbekannte…

Passwortmanager: Keeper erfindet „potentielle“ Sicherheitslücken

Ein Problem in der Browser-Extension des eigenen Passwortmanagers ist für den Hersteller Keeper nur eine „potentielle“ Sicherheitslücke – ein Begriff, der so nicht existiert. Sicherheitsforscher haben außerdem ein neues Problem bei Keeper Security entdeckt. (Security, Cloud Computing)   Advertise on…

Active Directory: Samba-Nutzer können Admin-Passwort ändern

Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben. (Samba, Sicherheitslücke)   Advertise on…

Azure: Kaum Interessenten für Microsofts deutsche Cloud

Datensicherheit, Standort in Deutschland und eine Isolation für unbefugten Zugriff durch Geheimdienste: Die deutsche Cloud ist Microsofts angepasstes Azure-Angebot für Deutschland. Was 2015 noch gut klang, ist heute wohl nicht mehr vorrangig – die Flexibilität des normalen Azure hingegen schon.…

Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System

Die EU will künftig europäische Fluggastdaten auf Vorrat speichern. Das im Aufbau befindliche deutsche System scheint noch nicht ganz sicher zu sein. (Malware, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Fluggastdaten: Regierung dementiert Hackerangriff auf…

ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer. (TLS, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: ROBOT-Angriff: Arbeitsagentur nutzt…

Avast: CCleaner-Infektion enthielt Keylogger-Funktion

Die im vergangenen Jahr mit CCleaner verteilte Malware sollte Unternehmen wohl auch per Keylogger ausspionieren. Avast hat im eigenen Netzwerk die Shadowpad-Malware gefunden, geht aber davon aus, dass diese bei Kunden nicht installiert wurde. (Keylogger, Server)   Advertise on IT…