0 Persons are tagged with #datenreichtum

#datenreichtum

fefebot@diasp.org
Fefebot

[l] Destatis kennt man ja vor allem dafür, dass sie flächendeckend die Google-Suchergebnisse infiziert haben, aber dann nur Werbung für ihren Paywall-Dienst liefern. Ein bisschen wie Forbes, die ja auch zu jedem Thema bei Google auf Platz 1 sind, seit sie von einer unseriösen Content-Mill infiziert wurden.

Mir persönlich erschließt sich ja nicht, wieso Destatis überhaupt Geld nehmen darf, denn das ist das Statistische Bundesamt. Das ist eine Bundesbehörde. Die kriegen einen riesigen Sack Steuergelder für ihre Arbeit.

Nun, jetzt kennt man Destatis auch für einen Datenreichtum der Daten deutscher Unternehmen. Die haben ein paar Hacker da rausgetragen und verkloppen die jetzt im Darknet. Money Quote:

Ob es sich bei Indohaxsec um eine staatlich finanzierte Gruppierung handelt, ist fraglich. Bei den betroffenen Unternehmen und Behörden fehlt ein eindeutiges Muster. So wurden etwa eine ungarische Kirchgemeinde, eine ukrainische Gärtnerei genauso angegriffen wie eine indische Hochschule. Vermutlich sucht Indohaxsec seine Ziele nicht strategisch aus, sondern dringt dort ein, wo Systeme schlecht gesichert sind. Und ab und zu trifft es auch deutsche Behörden.

Destatis operierte auf dem Security-Niveau einer ukrainischen Gärtnerei! Besser hätte ich das auch nicht auf den Punkt bringen können.

#fefebot #datenreichtum #google

2 Likes
jabgoe2089@hub.netzgemeinde.eu
Alexander Goeres

so unwahrscheinlich, wie sie sein sollte, ist fefes erklärung nicht ....

#blog #fefe #computer

Image/photoFefebot wrote the following post Fri, 08 Nov 2024 13:56:04 +0100

[l] Datenreichtum in Dresden.

Ein 54-Jähriger soll als Systemadministrator der Stadt Dresden abertausende Dateien und personenbezogene Daten von 430.000 Bürgern auf privaten Speichergeräten gesichert haben.

Hey, vielleicht hatte die Verwaltung nicht genug Geld für den Kauf von Speichermedien und der Mann wollte bloß helfen!

#fefebot #datenreichtum

4 Likes
3 Comments
1 Shares
fefebot@diasp.org
Fefebot

[l] Datenreichtum bei Cisco.

"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.

Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!!

#fefebot #datenreichtum #cisco

One person like that
fefebot@diasp.org
Fefebot

[l] Wisst ihr, ich halte ja seit Jahren Vorträge über IT-Security, wo ich den Leuten sage, dass "wir passen schon auf" und "wird schon nichts passieren" nicht funktioniert.

Ist eigentlich peinlich, dass ich das überhaupt sagen muss. Fällt das außer mir niemandem auf?! Bin ich der einzige, der sieht, dass die Milliarden alle wirkungslos verpuffen und wir immer noch ständig überall von dahingerotzter Ransomware Datenreichtum kriegen?!

Man muss auch dafür sorgen, dass wenn es jemandem gelingt, meinen Prozess zu übernehmen, dass der dann so wenig Zugriff wie möglich hat. Am besten ist er nach dem Angriff genau so weit wie er vor dem Angriff war, von den Zugriffsmöglichkeiten her.

Das ist nicht nur in der IT-Security so. Auch in der Politik ist das so. Wenn du dir Sorgen machst, dass die Nazis die Macht übernehmen könnten, dann musst du vorher dafür sorgen, dass so viele Checks and Balances installiert sind, dass die nichts damit anfangen können, wenn sie es in den Händen haben.

Das ist nun echt keine Raketenchirurgie, aber was tut die Ampel? Das glatte Gegenteil! Dafür sorgen, dass die Nazis einen schlüsselfertigen Überwachungs- und Unterdrückungsstaat in die Hände kriegen, mit mehr Möglichkeiten als jede Diktatur auf deutschem Boden vor ihm.

Zumindest gefühlt auch als die meisten Diktaturen im Ausland. Kennt hier jemand einen Rechtswissenschaftler, der mal eine vergleichende Studie machen möchte? Zwei Vergleiche liegen nahe, finde ich. Erstens: Hat unsere Polizei Befugnisse, die wir in der Vergangenheit Diktaturen vorgeworfen haben? Zweitens: Hat unsere Polizei Befugnisse, die über die der Polizei in notorischen Diktatoren hinausgehen?

Abgesehen davon ist das schon nicht völlig doof, noch schnell die CDU oder die SPD zu wählen. Der Schuldenberg und die Trümmerruine, den die hinterlassen, da kriegen die Nazis 10 Jahre lang keinen Fuß auf den Boden, weil sie erstmal Straßen, Brücken und Gleise renovieren müssen.

Schade nur, dass die in genau die beiden Dinge investiert haben, von denen wir nicht wollen, dass die Nazis sie haben. Armee und Unterdrückungsstaat.

#fefebot #datenreichtum #spd #cdu #netzpolitik

5 Likes
5 Shares
fefebot@diasp.org
Fefebot

[l] Überraschend viele Leser haben offenbar Transport for London (deren ÖPNV) ihre Daten gegeben und sind jetzt über einen Datenreichtum bei denen per E-Mail informiert worden.

Insgesamt muss ich sagen, dass ich überrascht bin, wie seriöse diese E-Mail rüberkommt. Keine Spur von "Angreifer" oder "kriminelle Energie".

We are currently dealing with an ongoing cyber security incident. The security of our systems and customer data is very important to us, and we have taken immediate action to protect our systems.

We identified some suspicious activity on Sunday 1 September and took action to limit access.  We are conducting a thorough investigation into the incident, alongside the National Crime Agency and the National Cyber Security Centre.

Although there has been very little impact on our customers so far, the situation is evolving and our investigations have identified that certain customer data has been accessed. This includes some customer names and contact details, including email addresses and home addresses where provided.

Some Oyster card refund data may have also been accessed. This could include bank account numbers and sort codes for a limited number of customers (around 5,000).

Dann noch ein paar Sätze, welche Dienste gerade nicht verfügbar sind, weil abgeschaltet, und eine Notiz, dass sie sich nochmal melden werden, wenn sich herausstellt, dass du persönlich betroffen bist.

Ich muss sagen: Hut ab! So muss das sein! Sie erwähnen in der Mitte die Behörden, die sie eingeschaltet haben, das ist aus meiner Sicht der einzige ein bisschen negative Punkt, aber die Art, wie sie es tun, geht noch klar, finde ich.

Insbesondere finde ich hervorhebenswert, wie wenig Opfergetue sie da verbreiten. 100 Punkte, TfL! Sehr gut!

#fefebot #datenreichtum

One person like that
fefebot@diasp.org
Fefebot

[l] Lacher des Tages:

Bundesamt für Verfassungsschutz und Bitkom fordern stärkere Cybersicherheit

Na das sind ja genau die richtigen!

Der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz sehen Deutschlands Wirtschaft akut bedroht und erachten Expertise im eigenen Land notwendig​.

Bitkom, wir erinnern uns, hat gegen das Verbot von Datenhandel lobbyiert, weil es ja Bürger gebe, die mit Werbung zugespammt werden wollen. Bitkom hat auch argumentiert, DE-Mail brauche keine Ende-zu-Ende-Verschlüsselung, weil das ja ein "extremes Sicherheitsniveau" wäre, das brauche doch kaum jemand. Bitkom feierte auch Politiker, die weniger Datenschutz und mehr Datenreichtum forderten. Bitkom fand nicht, dass man Mindest-Security per Regulator vorschreiben muss, sondern forderte mehr Meldepflichten (wissenschon, Datenreichtum!). Was für ein Clown-Laden Bitkom ist, sieht man ganz gut an folgender Veranstaltung:

AI & Data Summit and Quantum Summit will take place on 25 and 26 September 2024 live at Kosmos Berlin.

Mir fällt nur schwer jemand ein, den man noch weniger ernst nehmen kann als die.

Außer, natürlich, den Verfassungsschutz. Diese Organisation wollte uns Trojaner auf den Endgeräte spielen, und dafür Exploits kaufen. Das ist echt nicht zu fassen, dass ausgerechnet diese beiden Player jetzt so tun, als seien sie an mehr Cybersicherheit interessiert.

Bleibt nur noch eine offene Frage. Sind die nur böswillig oder auch bestürzend inkompetent und uninformiert? Hier ist ein Hinweis:

Die Professionalisierung der Angreifer bereitet dem Verfassungsschutz große Sorgen. "Zero-Day-Schwachstellen spielen eine ganz zentrale Rolle", warnte Selen, das BfV beobachte eine Industrialisierung der Angreifer.

Nein. Tun sie nicht. Eine Lücke ist nicht Zero-Day, nur weil du Klappspaten den Patch noch nicht ausgerollt hast. Eine Lücke ist Zero-Day, wenn es keinen Patch gab, den du hättest ausrollen können.

Der Bitkom vertritt übrigens Firmen wie Microsoft, Amazon und SAP. Daher werden die nie empfehlen, dass man Windows rauskantet und nicht in die Cloud zieht. Stattdessen kolportieren sie tolle Ideen wie diese hier:

Die Trennung etwa von SAP-Systemen eines Konzerns zwischen deutschen und chinesischen Standorten sei betriebswirtschaftlich eigentlich nicht sinnvoll, aber notwendig, solange es keine Alternativen gebe. Diese Restrukturierung entlang der Supply Chain finde aber zunehmend statt.

Was heißt hier Problem? Profit-Gelegenheit für SAP!

Das ist alles so eine Farce!

#fefebot #datenreichtum #verfassungsschutz #trojaner #microsoft #amazon

4 Likes
1 Shares
fefebot@diasp.org
Fefebot

[l] Der EuGH hat sich zu DSGVO-Schadensersatz geäußert.

War auch Zeit, finde ich. Nie war jemand Schuld, das war immer schlechtes Wetter und hochgradig kriminelle Energie von kriminellen Kriminellen. Höchste Zeit, dass der EuGH da mal Tacheles redet.

Hat er aber nicht. Es ging zwar ganz vielversprechend an:

Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen
Schaden darstellen

Aber hier ist der Fall, um den es ging: In Bulgarien hatte das Finanzamt Besuch einer Ransomware-Gang und danach tauchten die personenbezogenen Daten der Bürger in einschlägigen Darkweb-Verkaufsstellen auf.

Daraufhin hatten mehrere Bürger geklagt und das oberste Verwaltungsgericht Bulgariens hat den EuGH gefragt, ob die Bürger jetzt nachweisen müssen, dass die Daten wirklich vom Finanzamt kamen, dass das Finanzamt da ihre Security verkackt hat, und ob da weitergehender Schaden entstanden ist (Identitätsdiebstahl o.ä.).

Die Frage hätte sich mir gar nicht gestellt. Wenn jemand im Darkweb einen Finanzamts-Datenreichtum verhökert, und da sind meine Daten drin, dann hätte sich mir die Frage gar nicht gestellt, ob das Finanzamt Schuld ist. Wer denn bitte sonst?!

Der EuGH sagt jetzt: Das Finanzamt kann nicht einfach behaupten, sie hätten alles richtig gemacht, und das sei schlechtes Wetter gewesen. Und du als Betroffener musst nicht nachweisen, dass jemand mit den Daten im Darkweb bei dir Schaden angerichtet hat.

Auf der anderen Seite sagt das Gericht aber auch, dass alleine aus der Tatsache, dass die Daten veröffentlicht wurden, nicht geschlossen werden kann, dass die Schutzmaßnahmen ungeeignet waren. Das müsse im Einzelfall geklärt werden.

In der Praxis wird das Finanzamt dann auf ihr Schlangenöl zeigen und sagen:

WiR hABeN aLleS GeTAn!1!!

#fefebot #datenreichtum #dsgvo

One person like that
4 Comments
fefebot@pod.dapor.net
Fefebot

[l] Datenreichtum bei den Plattform Signing Keys von Android. Da sind ein paar weggekommen und signieren jetzt Malware.

Ja ist ja komisch! Ist ja fast als wäre Code Signing bloß Schlangenöl!?

Also das ist ja wohl mal ein klarer Fall, wo wir jemanden gebraucht hätten, der uns da rechtzeitig warnt!

Ist doch immer dasselbe. Es wurden schon alle Fehler gemacht, nur noch nicht von jedem. Erfahrung ist, wenn du die Fehler wiedererkennst, die du machst.

#fefebot #datenreichtum #malware

3 Likes
2 Shares
fefebot@pod.dapor.net
Fefebot

[l] Ich erzähle ja seit Jahren, dass man keine Datenhalden haben soll, weil die eines Tages wegkommen könnten. Wer nicht hören will muss fühlen: Polizeiserver in Belgien gehackt, Datenreichtum online geteilt. Da war alles mögliche dabei, von Nummernschildern über Bußgeldbescheide und amtliche Berichte bis hin zu Kindesmissbrauchsfotos. Der Angreifer hatte Zugriff auf Daten von 2006 bis September 2022.

Ihr werdet euch schon denken, dass man auch ein Lösegeld hätte zahlen können. Aber warum sollte man? Den Schaden haben ja andere Menschen, nicht die Polizisten. Die Polizei hat die betroffenen Rechner abgeschaltet und neue Passwörter verteilt und "die zuständigen Behörden kontaktiert". Damit war aus ihrer Sicht alles geklärt.

#fefebot #datenreichtum

2 Likes
fefebot@pod.dapor.net
Fefebot

[l] Wo wir gerade bei ungeplanten dezentralen Backups waren: Spanien hat auch gerade einen Datenreichtum. Hacker sind durch die Justizbehörden bis in das Finanzamt vorgedrungen und haben dort offenbar gezielt Datensätze abgegriffen, u.a. von 50000 Mitarbeitern der spanischen Bundespolizei.

Insgesamt haben die eine halbe Million Datensätze rausgetragen, aber das war offenbar keine typische Ransomware-Gruppe, die alles mitnimmt, was sie kriegen kann, sondern die haben gezielt nach Amtsträgern und Promis gesucht.

Bisher gibt es anscheinend keine Lösegeldforderungen oder so und man weiß auch noch nicht, wer das gewesen sein könnte. Aber jetzt sind natürlich alle sehr besorgt, klar.

#fefebot #datenreichtum

One person like that
fefebot@pod.dapor.net
Fefebot

[l] Ich weiß nicht, wie euch das geht, aber ich krieg ja immer Pickel, wenn ich so Ambulance-Chaser-Pressemitteilungen von irgendwelchen Security-Klitschen lese, die beim Portscannen irgendeinen GANZ SUPER FURCHTBAREN Datenreichtum gefunden haben, und über die Hälfte der Pressemitteilung darauf verwenden, sich ins eigene Horn zu blasen, dass ja ihre Kunden vorher informiert waren.

Absolut zum kotzen und an Unseriosität kaum zu toppen, finde ich.

Aber gelegentlich kommt so eine Meldung vorbei, die ich widerwillig trotzdem verlinke. Hier ist so eine. Aber lest die lieber nicht, lest lieber Microsofts Version davon. Sie haben irgendeinen RIESIGEN DATENREICHTUM gefunden, und zwar in Azure.

Gähn, denkt ihr euch jetzt vielleicht. Aber wartet.

Die Daten kommen diesmal von Microsoft selbst, nicht von irgendwelchen unachtsamen Azure-Kunden.

Das wäre ja schon ein Paukenschlag, denn das gesamte Geschäftsmodell von Cloudanbietern basiert ja darauf, dass ihr denen glaubt, dass sie besser auf ihre Daten aufpassen als ihre es gekonnt hättet. Naive IT-Verantwortliche glauben ihnen das dann vielleicht sogar, bis jemand den Gegenbeweis antritt.

Das ist hiermit geschehen.

Oh, was sagt ihr? Ihr seid schon so tief in die Lock-In-Falle gelaufen, dass ihr gar nicht mehr weg könnt jetzt? Tsja. Hättet ihr mal auf jemanden gehört, der euch rechtzeitig gewarnt hat.

#fefebot #datenreichtum #microsoft

One person like that
fefebot@pod.dapor.net
Fefebot

[l] Datenreichtum in Australien. Bei dem Mobilfunkunternehmen Optus. Das betrifft 9 Millionen Menschen oder 40% der erwachsenen Population Australiens.Hold my beer, ruft da die EU! Wieso auf Cyberangriffe warten, wenn man auch direkt alles abschnorcheln kann:

"Generell darf die Identität von Zahlenden und Zahlungsempfängern weder der Zentralbank noch zwischengeschalteten Dritten, die nicht an der Transaktion beteiligt sind, offengelegt werden", Ausnahmen sollen auf Basis des EU-Rechts aber möglich sein. "Ein digitaler Euro müsste alle erforderlichen rechtlichen Anforderungen erfüllen, um eine wirksame Bekämpfung der Geldwäsche und der Terrorismusfinanzierung sowie die Einhaltung von Finanzsanktionen und Steuervorschriften zu gewährleisten", betonen Deutschland und die anderen Länder zugleich.

Ist also wie Bargeld. Wo die ganze Zeit jemand mit einer Kamera hinter dir steht und alles mitfilmt.

Wohlgemerkt: Auch zukünftige rechtliche Anforderungen, versteht sich. Nicht nur aktuelle. Das ist ja bei Protokollen immer ein bisschen schwierig, besonders wenn es sich um an sich gutmeinende Kryptoprotokolle handelt, die mit dem Ziel entwickelt wurden, keine Daten rumliegen zu lassen.

Daher lese ich diese Meldung als Hinweis an Bewerber um die Implementation des digitalen Euro. Wenn das nicht flexibel genug ist, um auf Zuruf alles zu loggen, dann braucht ihr euch gar nicht zu bewerben.

#fefebot #datenreichtum #EU

One person like that
1 Shares
fefebot@pod.dapor.net
Fefebot

[l] Datenreichtum bei Twitter!

Na sowas. Wenn man Firmen, die es nicht brauchen, seine E-Mail-Adresse oder seine Telefonnummer gibt, dann kommt das irgendwann weg? NA SOWAS!

Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.

#fefebot #datenreichtum #twitter

3 Likes
1 Comments