Bedrohung / Hacking

Magento-Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Posted on:

Mit­tels Bru­te-Force-Atta­cken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin-Bereich von Online-Shops, wel­che die Soft­ware Magen­to nut­zen. Dabei wird ein Java­script-Code ein­ge­fügt, der ab sofort in Echt­zeit die Ein­ga­be­da­ten der Shop-Kun­den mit­schreibt und an einen Ser­ver in Russ­land über­trägt. Dar­in sind die Zah­lungs­in­for­ma­tio­nen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Infor­ma­tio­nen, wie Sie als Magen­to-Shop­be­trei­ber den besag­ten Schad­code iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicher­heits­bei­trag des Ent­de­ckers die­ses Pro­blems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absi­che­rung wie die Ver­ga­be gehär­te­ter Admin-Pass­wör­ter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Daten­pan­ne im Sin­ne der DSGVO dar­stellt und sich durch den Miß­brauch von Zah­lungs­in­for­ma­tio­nen schnell hohe Scha­dens­er­satz­be­trä­ge auf­sum­mie­ren kön­nen, soll­ten Sie als Magen­to-Shop­be­trei­ber zeit­nah prü­fen, ob Ihr Ser­ver ent­spre­chend mani­pu­liert wur­de. Meh­re­re tau­send infi­zier­te Shops sind bereits bekannt.

Bedrohung / Schutz / Tipps

WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Posted on:

Allen Nut­zern des belieb­ten Con­tent-Manage­ment-Sys­tems Word­press wird emp­foh­len, das Update auf Ver­si­on 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Ver­si­on 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktua­li­sie­rung von Word­press abge­schos­sen. Somit wer­den nach Ver­si­on 4.9.3 kei­ne Fixes Sicher­heits­lü­cken mehr auto­ma­tisch ein­ge­spielt. Abhil­fe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktua­li­sie­run­gen sicher­ge­stellt. Nut­zer von Word­press soll­ten die­sen Feh­ler umge­hend manu­ell behe­ben.

Bedrohung

Kritische Sicherheitslücke in Browser Firefox

Posted on:

Laut CERT BUND sind alle Ver­sio­nen des belieb­ten Brow­sers Fire­fox vor 58.0.1 von einer kri­ti­schen Sicher­heits­lü­cke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Web­sei­te reicht aus, um Schad­code auf den PC des Besu­chers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Ver­si­on 58.0.1 zeit­nah durch­zu­füh­ren. Im Zwei­fel manu­ell ansto­ßen, nicht auf das Auto-Update war­ten.

Bedrohung / Presse / Schutz

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Posted on:

Seit gerau­mer Zeit rumort es in Anwalts­krei­sen. Grund ist das beson­de­re elek­tro­ni­sche Post­fach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Ein­satz kom­men. Doch dar­aus wur­de nichts. Was mit der Ent­de­ckung eines falsch zur Ver­fü­gung gestell­ten Zer­ti­fi­kats Ende 2017 begann (der pri­va­te Schlüs­sel wur­de mit ver­teilt), fin­det nun sei­nen Höhe­punkt. Die Bun­des­rechts­an­walts­kam­mer (BRAK) emp­fiehlt in einer Pres­se­mel­dung die Cli­ent Secu­ri­ty zu deak­ti­vie­ren, bes­ser den Cli­ent gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicher­heits­über­prü­fun­gen ein unsi­che­res Pro­dukt an die Rechts­an­walts­zunft ver­teilt wur­de, klärt die Pres­se­mel­dung nicht auf.

BRAK-Vize­prä­si­dent Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicher­heits­fra­gen geklärt sind.”

Bedrohung / Entschlüsselung / Hacking / Presse / Schutz / Tipps / Uncategorized

Suchmaschine für gehackte Passwörter

Posted on:

Statt nach kom­pro­mit­tier­ten Email-Adres­sen der eige­nen Web­ac­counts zu suchen, besteht nun auch die Mög­lich­keit, sei­ne genutz­ten Pass­wör­ter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Krei­sen bekannt sind, kann durch einen neu­en Online-Ser­vice geprüft wer­den. Pfif­fi­ge Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Pass­wör­ter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüf­ser­vice fin­den Sie im Blog­bei­trag.

Bedrohung / Hacking / Schutz / Technik

Fritz!Box — der Spion im eigenen Haus

Posted on:

Wer sich über Hack­ing infor­miert, stößt zu Beginn schnell auf Begrif­fe und Tools wie nmap, Wireshark oder das Hack­ing-Betriebs­sys­tem Kali-Linux (als vir­tu­el­le Maschi­ne rea­dy to go zum Her­un­ter­la­den). Doch so tief muss man gar nicht ein­stei­gen. Die weit ver­brei­te­te Fritz!Box ent­hält eine im Anwen­der-Hand­buch undo­ku­men­tier­te Mit­schnei­de-Mög­lich­keit des KOMPLETTEN Daten­ver­kehrs im inter­nen Netz­werk (egal ob kabel­ge­bun­den oder WLAN). Und das in jedem von uns getes­te­ten Modell und das seit Jah­ren. Sofern Remo­te-Zugrif­fe auf die Fritz!Box mög­lich sind, kann der Netz­werk­ver­kehr auch von außen abge­grif­fen wer­den. Eigent­lich eine sinn­vol­le Funk­ti­on zur Feh­ler­ana­ly­se, bringt die­se Funk­ti­on erheb­li­ches Scha­dens­po­ten­ti­al mit sich. Und die Fritz!Box ist bei Unter­neh­men, Behör­den und Pri­vat­an­wen­dern sehr beliebt. Ent­spre­chend hoch die Ver­brei­tung. Wohl dem, der eini­ge Sicher­heits­maß­nah­men getrof­fen hat. Mehr lesen Sie in unse­rem kom­plet­ten Blog­bei­trag.

Bedrohung / Kommune / Schutz / Unternehmen

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Posted on:

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI) warnt in einer aktu­el­len Pres­se­mel­dung die Admi­nis­tra­to­ren und Nut­zer von Own­cloud und Next­cloud (einem Fork von Own­cloud) vor einer kri­ti­schen Sicher­heits­lü­cke. Über 20.000 Instal­la­tio­nen in Deutsch­land sind poten­ti­ell ver­wund­bar. Betrof­fen sind u.a. gro­ße und mit­tel­stän­di­sche Unter­neh­men, öffent­li­che und kom­mu­na­le Ein­rich­tun­gen, Ener­gie­ver­sor­ger, Kran­ken­häu­ser, Ärz­te, Rechts­an­wäl­te und pri­va­te Nut­zer.

Bereits im Febru­ar hat das BSI die Betrei­ber auf das Sicher­heits­ri­si­ko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Mel­dung ent­neh­men kann. Ledig­lich ein Fünf­tel der infor­mie­ren Ein­rich­tun­gen hat reagiert und die Schwach­stel­le geschlos­sen. Ob die eige­ne Cloud-Instal­la­ti­on betrof­fen ist, kann mit dem Secu­ri­ty-Scan­ner von Next­cloud online geprüft wer­den. Soll­ten Sie in Ihrer Orga­ni­sa­ti­on oder pri­vat eine Instanz von Own­cloud oder Next­cloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter den Links im Blog­bei­trag, ob Ihre Instal­la­ti­on betrof­fen ist. Gene­rell soll­te eine regel­mä­ßi­ge Prü­fung auf Updates und deren Instal­la­ti­on selbst­ver­ständ­lich und ein fes­ter wie­der­keh­ren­der Ter­min im Kalen­der sein.

Bedrohung / Schutz

Wie sicher ist Ihre Bank?

Posted on:

SMS TAN sind in Ver­bin­dung mit wei­te­ren Schutz­maß­nah­men eine gute Mög­lich­keit, Online Ban­king sicher zu nut­zen. Doch wenn die benö­tig­te SMS auf­grund der SMS For­ma­tie­rung bereits im Sperr­bild­schirm des End­ge­räts abruf­bar ist, ohne den PIN Code für das End­ge­rät ken­nen zu müs­sen, dann läuft was schief. Was eini­ge Ban­ken bereits cle­ver gelöst haben (die TAN steht ein­fach am Ende der SMS und nicht gleich zu Beginn), stellt ande­re Ban­ken vor Pro­ble­me. Oder sie wäl­zen das Pro­blem ein­fach auf den Nut­zer ab mit dem Tipp “Schal­ten Sie ein­fach die Benach­rich­ti­gun­gen für den Sperr­bild­schirm ab”. In die­sem Fall geht das nur, wenn man die Anzei­ge aller SMS im Sperr­bild­schirm deak­ti­viert. Wie hält es Ihre Bank damit? Wir freu­en uns auf Ihre Kom­men­ta­re. Lesen Sie den gan­zen Bei­trag online im Blog

Bedrohung

Online Passwort Speicher Lastpass mit Sicherheitslücke

Posted on:

Ent­ge­gen aller nach­voll­zieh­ba­ren Beden­ken wer­den Online Pass­wort Spei­cher nach wie vor ger­ne genutzt. Dabei lie­gen die gesam­mel­ten Pass­wör­ter nicht mehr im Ein­fluss­be­reich des jewei­li­gen Inha­bers, son­dern auf (meist ame­ri­ka­ni­schen) Ser­vern. Die Nut­zer­zah­len las­sen den Schluss zu, die Anwen­der ver­trau­en die­sen Ser­vices unge­bro­chen ger­ne ihre Pass­wör­ter an. Gesi­chert sind die­se dort mit einem Mas­ter­pass­wort und diver­sen Tech­ni­ken wie Ver­schlüs­se­lung etc.

Doch ist das Ver­trau­en in sol­che Ser­vices gerecht­fer­tigt. Aktu­ell steht der Online Pass­wort Dienst Last­Pass in der Kri­tik. Jedoch nicht mit einem neu­en Sicher­heits­pro­blem, son­dern mit einem älte­ren, das nicht kon­se­quent besei­tigt wur­de. Lesen Sie mehr im Blog­bei­trag.