Forwarded from cRyPtHoN™ INFOSEC (DE)
Sicherheitslücke: Biometrische Daten von Millionen Menschen offen im Netz
Eine Sicherheitsunternehmen, das auch von Polizei und Behörden benutzt wird, speicherte die biometrischen Daten von Millionen von Menschen unverschlüsselt. Sicherheitsforscher konnten auf Fingerabdrücke, Fotos und persönliche Passwörter zugreifen und die Daten sogar ersetzen.
☣️ Ein Untersuchungsteam von vpnMentor deckte eine Sicherheitslücke bei der südkoreanischen Firma Suprema auf. Deren Biostar2-Plattform ermöglicht es Unternehmen, mit Hilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Laut dem Guardian wird das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt.
Das Team unter der Leitung der zwei israelischen Sicherheitsforschern Noam Rotem und Ran Locar konnte bei seinen Untersuchungen auf 23 Gigabyte sehr sensibler Daten zugreifen. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -freigaben und unverschlüsselte Benutzernamen und Passwörter. Abgesehen von der fehlenden Verschlüsselung kritisierten die Forscher die Einfachheit der Passwörter: Teilweise wurden Passwörter wie „Password“ oder „abcd1234“ entdeckt. Gesichtserkennungsinformationen und Fingerabdrücke waren zudem unverschlüsselt gespeichert. Die Sicherheitslücke hätte genutzt werden können, um die Sicherheitssysteme der betroffenen Einrichtungen zu kontrollieren, neue Datensätze anzulegen und sich Zugang zu den betroffenen Einrichtungen zu verschaffen.
☣️ Unverschlüsselte biometrische Daten im Netz
Mit gestohlenen Fingerabdrücken und Fotos können Kriminelle außerdem Identitätsdiebstahl und andere schwerwiegende Straftaten begehen. Was auch das Team als besonders schwerwiegend einschätzt, drückt der österreichische Hacker Stefan Daschek auf Twitter passend aus:
"Passwörter unverschlüsselt speichern ist verantwortungslos. FINGERABDRÜCKE unverschlüsselt speichern ist … da gibts kein Wort für. (Im Gegensatz zu Passwörtern kann man die nämlich, wenn sie mal geleaked sind, nicht ändern.)"
Nach dem Fund der Daten informierten die Forscher Suprema über die Sicherheitslücke. Dort zeigte man sich nach Angaben der Forscher sehr unkooperativ, reagierte nicht auf Mails, legte bei einem Anruf einfach auf. Am 13. August, also kurz vor der Veröffentlichung, wurde die Sicherheitslücke durch das Unterenhmen aber geschlossen.
https://netzpolitik.org/2019/sicherheitsluecke-biometrische-daten-von-millionen-menschen-offen-im-netz/
#Sicherheitslücke #Biometrie #Daten #Fingerabdrücke
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Eine Sicherheitsunternehmen, das auch von Polizei und Behörden benutzt wird, speicherte die biometrischen Daten von Millionen von Menschen unverschlüsselt. Sicherheitsforscher konnten auf Fingerabdrücke, Fotos und persönliche Passwörter zugreifen und die Daten sogar ersetzen.
☣️ Ein Untersuchungsteam von vpnMentor deckte eine Sicherheitslücke bei der südkoreanischen Firma Suprema auf. Deren Biostar2-Plattform ermöglicht es Unternehmen, mit Hilfe von Gesichtserkennung und Fingerabdrücken Menschen zu identifizieren und Zugangsbefugnisse zu sicheren Bereichen in Gebäuden zu vergeben. Laut dem Guardian wird das System auch von der britischen Polizei, Banken und Sicherheitsfirmen genutzt.
Das Team unter der Leitung der zwei israelischen Sicherheitsforschern Noam Rotem und Ran Locar konnte bei seinen Untersuchungen auf 23 Gigabyte sehr sensibler Daten zugreifen. Zu den mehr als 27 Millionen Datensätzen gehören biometrische Daten von Angestellten, aber auch deren Sicherheitsstufen und -freigaben und unverschlüsselte Benutzernamen und Passwörter. Abgesehen von der fehlenden Verschlüsselung kritisierten die Forscher die Einfachheit der Passwörter: Teilweise wurden Passwörter wie „Password“ oder „abcd1234“ entdeckt. Gesichtserkennungsinformationen und Fingerabdrücke waren zudem unverschlüsselt gespeichert. Die Sicherheitslücke hätte genutzt werden können, um die Sicherheitssysteme der betroffenen Einrichtungen zu kontrollieren, neue Datensätze anzulegen und sich Zugang zu den betroffenen Einrichtungen zu verschaffen.
☣️ Unverschlüsselte biometrische Daten im Netz
Mit gestohlenen Fingerabdrücken und Fotos können Kriminelle außerdem Identitätsdiebstahl und andere schwerwiegende Straftaten begehen. Was auch das Team als besonders schwerwiegend einschätzt, drückt der österreichische Hacker Stefan Daschek auf Twitter passend aus:
"Passwörter unverschlüsselt speichern ist verantwortungslos. FINGERABDRÜCKE unverschlüsselt speichern ist … da gibts kein Wort für. (Im Gegensatz zu Passwörtern kann man die nämlich, wenn sie mal geleaked sind, nicht ändern.)"
Nach dem Fund der Daten informierten die Forscher Suprema über die Sicherheitslücke. Dort zeigte man sich nach Angaben der Forscher sehr unkooperativ, reagierte nicht auf Mails, legte bei einem Anruf einfach auf. Am 13. August, also kurz vor der Veröffentlichung, wurde die Sicherheitslücke durch das Unterenhmen aber geschlossen.
https://netzpolitik.org/2019/sicherheitsluecke-biometrische-daten-von-millionen-menschen-offen-im-netz/
#Sicherheitslücke #Biometrie #Daten #Fingerabdrücke
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Hacker sollen Daten von Offshore-Bank erbeutet haben
In einem Leak sind interne Dokumente aufgetaucht, die von der Cayman National Bank and Trust stammen sollen. "Phineas Fisher" hat sich zu dem Hack bekannt.
Die Seite "Distributed Denial of Secrets" hat mehrere Hunderttausend interne Dokumente veröffentlicht, die von den Servern eines Ablegers der Cayman National Bank and Trust auf der Isle of Man erbeutet worden sein sollen. Ein mit dem Leak veröffentlichtes Manifest legt nahe, dass der bekannte Hacker-Aktivist "Phineas Fisher" für die Aktion verantwortlich ist.
Der Server mit dem geleakten Datensatz, der inzwischen mehrere Terabyte umfassen soll, ist zur Stunde nicht oder nur schwer erreichbar, was wohl an zahlreichen Zugriffen liegen dürfte. Laut Motherboard umfassen die Daten mehr als 600.000 interne E-Mails und Dokumente. Darüber hinaus behauptet "Phineas Fisher", bei der Aktion, die offenbar bereits 2016 stattfand, auch einen sechsstelligen Dollarbetrag erbeutet zu haben. https://www.vice.com/en_us/article/vb5agy/phineas-fisher-offers-dollar100000-bounty-for-hacks-against-banks-and-oil-companies
Der Zugang soll über Lücken in der von der Bank verwendeten VPN- und Firewall-Software erfolgt sein. In den Daten finden sich unter anderem auch Listen mit Kundendaten, darunter Namen und Adressen von Firmen und Individuen sowie einzelne Kontostände. Die Cayman National Bank and Trust hat sich bisher nicht zu dem Vorfall geäußert.
Weiter auf:
https://www.heise.de/newsticker/meldung/Hacker-sollen-Daten-von-Offshore-Bank-erbeutet-haben-4588189.html
https://unicornriot.ninja/2019/massive-hack-strikes-offshore-cayman-national-bank-and-trust/
https://unicornriot.ninja/wp-content/uploads/2019/11/hackback-announce-text.txt
#Hacker #gehackt #PhineasFisher #Daten #Offshore #Bank
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
In einem Leak sind interne Dokumente aufgetaucht, die von der Cayman National Bank and Trust stammen sollen. "Phineas Fisher" hat sich zu dem Hack bekannt.
Die Seite "Distributed Denial of Secrets" hat mehrere Hunderttausend interne Dokumente veröffentlicht, die von den Servern eines Ablegers der Cayman National Bank and Trust auf der Isle of Man erbeutet worden sein sollen. Ein mit dem Leak veröffentlichtes Manifest legt nahe, dass der bekannte Hacker-Aktivist "Phineas Fisher" für die Aktion verantwortlich ist.
Der Server mit dem geleakten Datensatz, der inzwischen mehrere Terabyte umfassen soll, ist zur Stunde nicht oder nur schwer erreichbar, was wohl an zahlreichen Zugriffen liegen dürfte. Laut Motherboard umfassen die Daten mehr als 600.000 interne E-Mails und Dokumente. Darüber hinaus behauptet "Phineas Fisher", bei der Aktion, die offenbar bereits 2016 stattfand, auch einen sechsstelligen Dollarbetrag erbeutet zu haben. https://www.vice.com/en_us/article/vb5agy/phineas-fisher-offers-dollar100000-bounty-for-hacks-against-banks-and-oil-companies
Der Zugang soll über Lücken in der von der Bank verwendeten VPN- und Firewall-Software erfolgt sein. In den Daten finden sich unter anderem auch Listen mit Kundendaten, darunter Namen und Adressen von Firmen und Individuen sowie einzelne Kontostände. Die Cayman National Bank and Trust hat sich bisher nicht zu dem Vorfall geäußert.
Weiter auf:
https://www.heise.de/newsticker/meldung/Hacker-sollen-Daten-von-Offshore-Bank-erbeutet-haben-4588189.html
https://unicornriot.ninja/2019/massive-hack-strikes-offshore-cayman-national-bank-and-trust/
https://unicornriot.ninja/wp-content/uploads/2019/11/hackback-announce-text.txt
#Hacker #gehackt #PhineasFisher #Daten #Offshore #Bank
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Hunderte von Apps haben versteckte Tracking-Software, die von der Regierung verwendet wird
Ein neuer Bericht enthüllt, wie ein Auftragnehmer des Bundes heimlich staatliche Tracking-Software in Hunderte von mobilen Anwendungen integriert.
Die aus dem Tracking gewonnenen Daten werden dann an die US-Regierung für nicht offengelegte Zwecke zurückverkauft.
Ein neuer Bericht des Wall Street Journal enthüllt heute eine weitere Entwicklung in Bezug auf das Tracking von Mobiltelefonen. Dem Bericht zufolge bringt mindestens ein Auftragnehmer des Bundes in mehr als 500 mobilen Anwendungen staatliche Ortungssoftware unter.
Der Auftragnehmer - eine in Virginia ansässige Firma namens Anomaly Six LLC - bezahlt Entwickler von Mobiltelefonen dafür, dass sie ihren internen Tracking-Code in ihre Anwendungen integrieren. Die Tracker sammeln dann anonymisierte Daten von unseren Handys, und Anomaly Six aggregiert diese Daten und verkauft sie an die US-Regierung.
👀 👉🏼 🇬🇧 https://www.androidauthority.com/government-tracking-apps-1145989/
👀 👉🏼 🇬🇧 https://www.wsj.com/articles/u-s-government-contractor-embedded-software-in-apps-to-track-phones-11596808801
#USA #Regierung #Tracking #Software #Apps #Smartphones #Daten #Überwachung #warum #nachdenken
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Ein neuer Bericht enthüllt, wie ein Auftragnehmer des Bundes heimlich staatliche Tracking-Software in Hunderte von mobilen Anwendungen integriert.
Die aus dem Tracking gewonnenen Daten werden dann an die US-Regierung für nicht offengelegte Zwecke zurückverkauft.
Ein neuer Bericht des Wall Street Journal enthüllt heute eine weitere Entwicklung in Bezug auf das Tracking von Mobiltelefonen. Dem Bericht zufolge bringt mindestens ein Auftragnehmer des Bundes in mehr als 500 mobilen Anwendungen staatliche Ortungssoftware unter.
Der Auftragnehmer - eine in Virginia ansässige Firma namens Anomaly Six LLC - bezahlt Entwickler von Mobiltelefonen dafür, dass sie ihren internen Tracking-Code in ihre Anwendungen integrieren. Die Tracker sammeln dann anonymisierte Daten von unseren Handys, und Anomaly Six aggregiert diese Daten und verkauft sie an die US-Regierung.
👀 👉🏼 🇬🇧 https://www.androidauthority.com/government-tracking-apps-1145989/
👀 👉🏼 🇬🇧 https://www.wsj.com/articles/u-s-government-contractor-embedded-software-in-apps-to-track-phones-11596808801
#USA #Regierung #Tracking #Software #Apps #Smartphones #Daten #Überwachung #warum #nachdenken
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Android Authority
Report: Hundreds of apps have hidden tracking software used by the government
According to a new report, there is government tracking software hidden in hundreds of apps. The software is undisclosed, put there by federal contractors.
Forwarded from cRyPtHoN™ INFOSEC (DE)
Kindle sammelt eine überraschend große Menge an Daten
Wie sich herausstellt, sammelt der Kindle eine Tonne Daten
Der Kindle sendet Geräteinformationen, Nutzungsmetadaten und Details über jede Interaktion mit dem Gerät (oder der Anwendung), während es benutzt wird. All dies ist direkt mit dem Leserkonto verknüpft.
Das Öffnen der Anwendung, das Lesen eines Buches, das Blättern durch ein paar Seiten und das Schließen des Buches sendet über 100 Anfragen an Amazon-Server.
👀 👉🏼 🇬🇧 https://nullsweep.com/kindle-collects-a-surprisingly-large-amount-of-data/
#Kindle #Überwachung #Daten #sammeln #Amazon #DeleteAmazon #nachdenken #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Wie sich herausstellt, sammelt der Kindle eine Tonne Daten
Der Kindle sendet Geräteinformationen, Nutzungsmetadaten und Details über jede Interaktion mit dem Gerät (oder der Anwendung), während es benutzt wird. All dies ist direkt mit dem Leserkonto verknüpft.
Das Öffnen der Anwendung, das Lesen eines Buches, das Blättern durch ein paar Seiten und das Schließen des Buches sendet über 100 Anfragen an Amazon-Server.
👀 👉🏼 🇬🇧 https://nullsweep.com/kindle-collects-a-surprisingly-large-amount-of-data/
#Kindle #Überwachung #Daten #sammeln #Amazon #DeleteAmazon #nachdenken #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Gesellschaft für Freiheitsrechte: Klagen gegen zentrale Gesundheitsdatensammlung
https://netzpolitik.org/2022/gesellschaft-fuer-freiheitsrechte-klagen-gegen-zentrale-gesundheitsdatensammlung/
#️⃣
#Daten
#Gericht
#Medizin
https://netzpolitik.org/2022/gesellschaft-fuer-freiheitsrechte-klagen-gegen-zentrale-gesundheitsdatensammlung/
#️⃣
#Daten
#Gericht
#Medizin
netzpolitik.org
Gesellschaft für Freiheitsrechte: Klagen gegen zentrale Gesundheitsdatensammlung – netzpolitik.org
Ab Oktober sollen die gesetzlichen Krankenkassen einer zentralen Stelle Gesundheitsdaten aller Versicherten zur Verfügung stellen. An der Sicherheit der Dateninfrastruktur gibt es allerdings erhebliche Zweifel. Deshalb klagt die Gesellschaft für Freiheitsrechte…
IT und Sicherheit
🗓 9. April. 2024 DESKTOP Telegram-Schwachstelle?! Neue Meldungen schüren Panik unter den Telegram Benutzern am Desktop. W@hrend Telegram selbst diese RCE-Schwachstelle für Desktop-Anwender bestreitet, wird von CertiK empfohlen vorsichtshalber das automatische…
Automatischer Mediendownload -
am mobilen Endgerät
📶 📶 🌐 InternetVerbindung, Medien- & ChatArten festlegen
Mediendownload ist ein wichtiges Thema für Deine mobilen Endgeräte (Urlaub & Unterwegs).
🍔 Telegram Einstellungen - >
⚙ Einstellungen ->
📊 Daten & Speicher ->
Automatischer Mediendownload
Passe die Einstellungen zum Mediendownload gezielt für Deine Bedürfnisse an.
❕ Besonders wichtig ist das unterbinden des automatischen herunterladens von Dateien.
────
Schritt 1
🍔 Telegram-Einstellungen - >
(die drei Balken links, im oberen Eck antippen)
────
Schritt 2
⚙ Einstellungen antippen - >
Die drei Punkte (rechts oben) antippen
────
Schritt 3
📊 Daten & Speicher antippen
────
Schritt 4
Daten & Speicher -> Automatischer Mediendownload ->
📶 Über WLAN -> 🔛
Du befindest Dich nun bei
Daten & Speicher ->
dort gehst Du abwärts bis zur Überschrift: Automatischer Mediendownload
📶 Über MobilFunk -> 🔛
📶 Über WLAN -> 🔛
🌐 Bei Roaming -> 🔛
Dort kannst Du ausw@hlen, welche MedienArten über welche InternetVerbindung
automatisch bei Telegram heruntergeladen werden.
💡 Ich schalte grundsätzlich aus:
📶 Über MobilFunk -> 🔛
🌐 Bei Roaming -> 🔛
Daher tippe ich an ->
📶 Über WLAN & schaue mir die Optionen dort genauer an.
────
Schritt 5
📶 Über WLAN -> hier stehen Dir viele & die folgenden Optionen zur Verfügung:
Medien-Audio-Download🔛
DatenNutzung
Niedrig - Mittel - Angepasst - Hoch
MedienArten
Bilder ->🔛
Videos ->🔛
Dateien ->🔛
Stories ->🔛
Wähle aus, was für Dich passend ist und nehme die Einstellungen entsprechend vor.
Wiederhole bei Bedarf diesen Vorgang für die anderen InternetVerbindungen & MedienArten.
────
Schritt 6
Klicke unter MedienArten
z. B. auf - > Bilder - > ChatArten auswählen & speichern.
👉 Klicke hier zur DesktopAnleitung
☀️࿐•ღ🍃🌗🍃ღ•࿐☀️
#Anleitung #Android
#HilfeVideo
#BeispieBilder
#Daten #Speicher
#Sicherheit
#Einstellungen
#Medien
#MedienDateien
#Download
#Herunterladen
#automatischer_Mediendownload
───
📱 @AnleitungenTelegram
☀️࿐•ღ🍃❤️🍃ღ•࿐☀️
am mobilen Endgerät
Mediendownload ist ein wichtiges Thema für Deine mobilen Endgeräte (Urlaub & Unterwegs).
Automatischer Mediendownload
Passe die Einstellungen zum Mediendownload gezielt für Deine Bedürfnisse an.
────
Schritt 1
(die drei Balken links, im oberen Eck antippen)
────
Schritt 2
Die drei Punkte (rechts oben) antippen
────
Schritt 3
────
Schritt 4
Daten & Speicher -> Automatischer Mediendownload ->
Du befindest Dich nun bei
Daten & Speicher ->
dort gehst Du abwärts bis zur Überschrift: Automatischer Mediendownload
Dort kannst Du ausw@hlen, welche MedienArten über welche InternetVerbindung
automatisch bei Telegram heruntergeladen werden.
Daher tippe ich an ->
────
Schritt 5
Medien-Audio-Download
DatenNutzung
Niedrig - Mittel - Angepasst - Hoch
MedienArten
Bilder ->
Videos ->
Dateien ->
Stories ->
Wähle aus, was für Dich passend ist und nehme die Einstellungen entsprechend vor.
Wiederhole bei Bedarf diesen Vorgang für die anderen InternetVerbindungen & MedienArten.
────
Schritt 6
Klicke unter MedienArten
z. B. auf - > Bilder - > ChatArten auswählen & speichern.
👉 Klicke hier zur DesktopAnleitung
☀️࿐•ღ🍃🌗🍃ღ•࿐☀️
#Anleitung #Android
#HilfeVideo
#BeispieBilder
#Daten #Speicher
#Sicherheit
#Einstellungen
#Medien
#MedienDateien
#Download
#Herunterladen
#automatischer_Mediendownload
───
☀️࿐•ღ🍃❤️🍃ღ•࿐☀️
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM