Ein neues Yahoo!-Datenleck #

Dazu kann man nach dem hier nicht mehr viel sagen. Diesmal wurde bekannt, dass Yahoo! die Nutzerdaten von 1.000.000.000 entwendet wurden.

On Wednesday, Yahoo said an unauthorized third party stole data associated with more than one billion user accounts in August 2013. […] Yahoo, which had previously disclosed that its outside forensic experts were investigating the creation of forged cookies that could allow an intruder to access users’ accounts without a password, said Wednesday it believes an unauthorized third party accessed the company’s proprietary code to learn how to forge cookies. Yahoo is notifying affected account holders, and has invalidated the forged cookies.

Ich habe Yahoo! schon den Rücken gekehrt. Sobald alle Fotos bei Flickr gelöscht sind, bin ich weg und komme nie wieder.

Der Yahoo!-Hack #

Vor wenigen Tagen wurde bekannt, dass Yahoo! vor zwei Jahren die Zugangsdaten von 500 Millionen Konten gestohlen wurden. Ob der Hack nun, wie Yahoo behauptet, „mit Hilfe eines Staates“ durchgeführt wurde, ist auch schon egal; letzten Endes ist alles, was nicht auf Wissen basiert, PR. Und gegenwärtig weiß niemand etwas.

Was man bei Yahoo intern aber gewusst hat, lässt mich dann aber doch aufhorchen:

Internal sources at Yahoo said the company had been subjected to a number of previous incidents that were not managed swiftly by CEO Marissa Mayer. One executive close to the situation said that former Yahoo information security head Alex Stamos had tried aggressively to get management to act more strongly at the time, but he had not been successful. The well-regarded techie left Yahoo in mid-2015 for a job as chief security officer at Facebook.

Und was die Zahl von 500 Millionen Nutzerdaten angeht, so bin ich ganz bei John Gruber, der sich fragt, ob diese Zahl nicht ein Faktum verschweigt, das zwar nicht heute, sehr wohl aber vor zwei Jahren Gültigkeit hatte und damit die Dimension des Hacks verändert:

Doesn’t “500 million accounts” effectively mean all Yahoo accounts in 2014? How many accounts could there have been that weren’t stolen? They’re saying “500 million” but they really mean “They stole every account”. Right? […] Even if it’s not all accounts that were stolen, it has to be most.

Und was ist ein Unternehmen wert, das E-Mails, Fotos (Flickr) und andere persönliche Daten verwaltet, dem die Zugangsdaten aller Kundenkonten gestohlen wurden?

„Ungewollter Informationsabfluss“ bei KMUs #

Ö1 Digital Leben hat über das Geschäftsmodell Wirtschaftsspionage berichtet, das mittelständischen Unternehmen am meisten schadet. Was mir bislang nicht klar war, ist die Bewertung und Einordnung von privater oder staatlicher Wirtschaftsspionage in den Rechtskodex anderer Staaten. Dazu befragt, antwortete Walter Karl, Sicherheitsexperte bei IBM:

Wenn sie sich die Frage stellen, wieviele Länder sehen Wirtschaftsspionage als Straftat, weltweit, dann sind es 3 Stück. Das ist Deutschland, Österreich und Schweiz. Und in jedem anderen Land ist es teilweise so, dass Wirtschaftsspionage als „Wirtschaftsunterstützung“ bewertet wird, das heißt, dass sogar die Firmen animiert werden, Regierungsstellen zu nutzen, sich Daten beschaffen zu lassen, die ihnen helfen, in der Wirtschaft konkurrenzfähig zu bleiben. Das heißt auch Datenklau, Datenspionage, Wirtschaftsspionage zu betreiben.

Toll, wenn ich vom IT-Betreuer einer Firma dann zu hören bekomme, dass ich mit meinen (automatisch generierten, nie außer im Passwort-Manager gespeicherten) mehr-als-zwanzigstelligen Passwörtern nicht „so übertreiben soll“, weil „wen interessieren diese Daten schon?“

Adobe wurden weit mehr als 2,9 Mio. Benutzerdaten gestohlen #

Adobe wurden deutlich mehr Benutzerdaten gestohlen als anfänglich geglaubt. In Zahlen: Zuerst sollen 2,9 Millionen Kunden vom Hack betroffen gewesen sein, nun sind es mindestens 38 Millionen.

At the time, a massive trove of stolen Adobe account data […] indicated that — in addition to the credit card records – tens of millions of user accounts across various Adobe online properties may have been compromised in the break-in. It was difficult to fully examine many of the files on the hackers’ server that housed the stolen source because many of the directories were password protected, and Adobe was reluctant to speculate on the number of users potentially impacted.

But just this past weekend, AnonNews.org posted a huge file called “users.tar.gz” that appears to include more than 150 million username and hashed password pairs taken from Adobe.

Moment. Nicht 2,9 oder 38, sondern nun plötzlich 150 Millionen Benutzer(namen)?

Adobe gehackt #

Adobe wurde gehackt.

Our investigation currently indicates that the attackers accessed Adobe customer IDs and encrypted passwords on our systems. We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders. At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems.

Absolute Sicherheit kann es natürlich nicht geben; bestmögliche hingegen schon. Fraglich nur, was „bestmöglich“ im unternehmerischen Denken eigentlich bedeutet. Wägt der Nutzen des aktuell sichersten Systems die hierfür notwendigen Kosten auf?

Passwörter im Teufelskreis #

Das Hacken von Benutzerkonten wird immer einfacher, da einmal geleakte Passwörter zukünftige Hacks enorm beschleunigen: ein Teufelskreis.

Using the same password or simple variations of the same password for securing access to different accounts has never been a good idea. However, today it’s a worse idea than ever. Major hacks and security breaches happen all the time. Occurring quickly one after another, there is little doubt the hackers are using databases of previously harvested passwords in order to try breaking into a variety of services.

Die Statistik am Anfang des Artikels ist schockierend, die Hinweise am Ende gehören in jede Sicherheitsrichtlinie. Aber klar, dein System ist sicher…