2 Persons are tagged with #hacking

Etatismus
Etatismus
micha1621@diaspora.subsignal.org
#freifunk #freifunk-leipzig #hacking #riot #matrix

#hacking

1 Shares
deutschlandfunk@squeet.me
Deutschlandfunk (inoffiziell)

Hack and Leak (2/2): Wir nehmen uns, was uns zusteht

Hacktivismus (2/2) - "Hack and Leak"-Bewegung: Wir nehmen uns, was uns zusteht

Hacking kann Demokratie stärken oder schaden. Wie soll die Gesellschaft mit Leaks umgehen, und sind offene Daten immer gut?#Hacker #Hacking #Aktivismus #Leaks #USA #No-Fly-List
Hack and Leak (2/2): Wir nehmen uns, was uns zusteht

Hack and Leak (2/2): Wir nehmen uns, was uns zusteht

Hacking kann Demokratie stärken oder schaden. Wie soll die Gesellschaft mit Leaks umgehen, und sind offene Daten immer gut?

deutschlandfunk@squeet.me
Deutschlandfunk (inoffiziell)

Hack and Leak (1/2): Eine Bewegung formiert sich

Hacktivismus (1/2) - Die Bewegung "Hack and Leak" formiert sich

Mit Hacking Nazis jagen oder Skandale aufdecken: Was einst mit Anonymous chaotisch anfing, wird immer zielgerichteter.#Hacker #Hacking #Aktivismus #Antifaschismus
Hack and Leak (1/2): Eine Bewegung formiert sich

Hack and Leak (1/2): Eine Bewegung formiert sich

Mit Hacking Nazis jagen oder Skandale aufdecken: Was einst mit Anonymous chaotisch anfing, wird immer zielgerichteter.

One person like that
aktionfsa@diasp.eu
Aktion Freiheit statt

###04.08.2024 Jede Sekunde eine Anfrage
"Unplausible" Bestandsdaten werden überprüft

25,54 Millionen Mal haben 122 staatliche Stellen bei 110 Telefon-Anbietern nachgefragt, wem eine Telefonnummer gehört - also praktisch eine Anfrage pro Sekunde. Sie können aber auch nachfragen wie viele und welche Telefone auf eine Person registriert sind. Das ganze nennt sich Bestandsdatenauskunft und wurde von uns mehrfach thematisiert.

Als die Gesetzesänderung 2016 beschlossen wurde, hatte das Innenministerium eine solche Überprüfung noch ausgeschlossen, schreibt netzpolitik.org. Entgegen dem derzeitigen Stand in Deutschland kann man in vielen Staaten der Welt Internet per WLAN und Mobilfunk auch ohne Identifizierung nutzen, darunter USA, Großbritannien und Niederlande.

Bei der Einführung des Gesetzes hieß es, dass es „keine allgemeine Pflicht zur nachträglichen Überprüfung bereits erhobener Bestandsdaten“ geben werde. Nun aber wollen die Behörden fehlerhafte und unplausible Bestandsdaten identifizieren und die Anbieter dazu verpflichten, unplausible Anschlussinhaber zu überprüfen. Damit dürfte ein Telefonanschluss auf den Namen Micky Maus wohl bald der Vergangenheit angehören.

Zusammen mit der bereits 2013 eingeführten automatischen Überprüfung von Internetdaten wie IP-Adressen und E-Mail-Postfächern als Bestandsdaten haben Behörden Einblick welche IP-Adressen eine Zielperson zu einem Zeitpunkt nutzt – und zwar ebenfalls ohne Richterbeschluss. Über diese Abfragen gibt es leider noch nicht einmal Abfragestatistiken.

Mehr dazu bei https://netzpolitik.org/2024/bestandsdatenauskunft-2023-bundesnetzagentur-schaltet-pseudonyme-mobilfunk-anschluesse-ab/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3C3
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8861-20240804-jede-sekunde-eine-anfrage.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8861-20240804-jede-sekunde-eine-anfrage.html
Tags: #Bestandsdatenauskunft #Verbraucherdatenschutz #Datenschutz #Datensicherheit #IP-Adressen #Mail #Datenskandale #Anonymität #Meinungsfreiheit #Pressefreiheit #Internetsperren #Netzneutralität #Polizei #Geheimdienste #Hacking #Geodaten

4 Likes
2 Shares
lorenzoancora@pod.mttv.it
Lorenzo Ancora

The Free Software Database v. 250724.218 is online!

What's new?

We've transitioned away from Uploadcare CDN and Polyfill.io as those services were no longer owned by the original companies.
Since we've always used the Subresource Integrity (SRI) security technology, there has never been any risk, but they were causing occasional network delays.

This is only a patch and it will soon be followed by important improvements in the next days.

What to expect?

  1. We have decided to be more attentive to user feedback, so the indexed free or open source projects involved in abuses to the detriment of the free software volunteers will suffer a heavy and publicly visible penalty. They won't be removed, but a warning will be clearly visible, a permanent search engine penalty will be imposed and alternatives may be recommended.

  2. All resources will be associated with a developer, either a person or a project. The karma (reputation) of a software will now depend on the average reputation of the other resources by the same author. This will serve as useful indicator to those searching for a project to volunteer for.

  3. We plan to gradually reduce the dependency on Content Delivery Networks.
    This will have a positive impact on speed and privacy.

https://fswdb.eu

#website #webapp #webapplication #libre-software #freesoftware #free-software #foss #opensource #database #directory #linux #gnu-linux #gnulinux #windows #osx #hacking #freesoftware #libresoftware #website #opensearch #searchengine #directory

6 Likes
7 Comments
aktionfsa@diasp.eu
Aktion Freiheit statt

14.07.2024 Microsoft "stärkt Bindung" von Firmenkunden

Nun erwischt es auch Firmenkunden

"Microsoft macht uns das Leben schwer" hatten wir vor einem Monat festgestellt und berichtet, dass es zukünftig nicht mehr möglich ist Windows mit einem lokalen Konto einzurichten. Nun sind von dem "einnehmenden Wesen" von Microsoft auch Firmenkunden betroffen.

Heise.de berichtet: Microsoft stellt kurzfristig die Office-365-Konnektoren für seine Kollaborationsplattform MS Teams ein und legt Kunden, die für ihre Workflows davon Gebrauch machen, den Umstieg auf das eigene Angebot Power Automate sowie die Workflows-App in MS Teams nahe.

Dann wird die Anbindung von eigenen Konnektoren an MS Teams bereits ab dem 15. August 2024 unmöglich sein. Ab dem 1. Oktober 2024 werden dann auch sämtliche noch vorhandenen Konnektoren in allen Cloud-Umgebungen abgeschaltet. Aber mit dem Microsoft eigenen "Power Automate" wird weiter ein "reibungsloser Betrieb" gewährleistet.

Über kurzfristige Ankündigungen hatten sich Microsoft Kunden bereits öfter beschwert, dieser Schritt ist nun das Sahnehäubchen. Immerhin sehen Kunden bereits jetzt beim Verbindungsaufbau einen Warnhinweis ...

Mehr dazu bei https://www.heise.de/news/Workflow-unterbrochen-Microsoft-stellt-Office-365-Konnektoren-fuer-Teams-ein-9796836.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3BE
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8839-20240714-microsoft-staerkt-bindung-von-firmenkunden.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8839-20240714-microsoft-staerkt-bindung-von-firmenkunden.html
Tags: #PowerAutomate #Firmenkunden #Verbraucherdatenschutz #Datenschutz #Datensicherheit #WorklowApps #Datenpannen #Datenskandale #Scoring #Microsoft #Windows11 #nachHausetelefonieren #OpenSource #Hacking #Trojaner #Clouddienste #Verschluesselung #Abhängigkeit

One person like that
1 Shares
aktionfsa@diasp.eu
Aktion Freiheit statt

12.07.2024 Angriffsmöglichkeit über Bluetooth

"Fast Connect" war sehr redselig

Auf der Linux Hilfeseite gnome.org berichtet ein Nutzer über Probleme mit seinen neuen Apple AirPods 3:

Nach anfänglichem Erstaunen darüber, wie magisch sie mit meinem (Apple-)Telefon und meinem (Apple-)Laptop zusammenarbeiteten, wechselte ich zurück in meine Alltagswelt und startete den Laptop wieder unter Linux. Und während die AirPods auch dort einigermaßen gut funktionierten, weigerten sie sich danach, sich gleichzeitig mit meinem Telefon und meinem Laptop zu verbinden.

Der Grund war eine Schwachstelle in der Funktion "Fast Connect", die Apple für die Verbindung von Bluetooth-Peripheriegeräten anbietet. Der Hauptzweck davon scheint zu sein, die Zeit, die für den Aufbau einer Verbindung zwischen zwei Apple-Geräten benötigt wird, von 1 Sekunde auf etwa 0,5 Sekunden zu reduzieren.

Dabei "dehnt" Apple das Fast-Connect-Protokoll, ohne die Bluetooth-Spezifikation zu verletzen, und kann dabei noch drei weitere Nachrichten austauschen, um alles auszuhandeln, was für eine vollständige Verbindung der beiden Geräte erforderlich ist.

Allerdings kann sich mit dieser Schwachstelle jeder mit den AirPods verbinden, solange er die feste Bluetooth-MAC-Adresse der AirPods kennt, die über Funk bekannt gegeben werden, wenn sich ein Bluetooth-Gerät im Pairing-Modus befindet. Wenn eine Verbindung hergestellt ist, kann der Angreifer alles tun, was ein legitimes Gerät tun kann: das Mikrofon abhören, Musik abspielen, die Musik, die gerade von einem anderen verbundenen Gerät abgespielt wird, sehen und pausieren oder verschiedene Dinge tun, die das AAP-Protokoll tun kann, auch Einstellungen ändern, die AirPods durch das Senden schlecht formatierter Nachrichten zum Absturz bringen u.v.m.

Die Sicherheitslücke (CVE-2024-27867) ist inzwischen auch Apple bekannt und der Tipp des Autors auf gnome.org und auch von Apple lautet: you should make sure the firmware is up to date.

Mehr dazu bei https://blogs.gnome.org/jdressler/2024/06/26/do-a-firmware-update-for-your-airpods-now/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3BC
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8837-20240712-angriffsmoeglichkeit-ueber-bluetooth.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8837-20240712-angriffsmoeglichkeit-ueber-bluetooth.html
Tags: #FastConnect #AirPods #Apple #Linux #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Sicherheitslücke #Smartphone #Handy #Hacking #MACAdresse #PairingModus

4 Likes
1 Shares
aktionfsa@diasp.eu
Aktion Freiheit statt

30.06.2024 Cyberkrieg ist völkerrechtswidrig

Mal angenommen ...

Unter dieser Rubrik finden wir in der ARD Audiothek einen Podcast (23min) über die Aufgaben und Risiken der neuen, 4. Waffengattung der Bundeswehr mit vielen interessanten Quellenangaben. Neben Luftwaffe, Marine und Heer gibt es nun auch eine Cyber-Abwehr.

Vielleicht hätten sich die jeweiligen VerteidigungsministerInnen der letzten Jahren mit den Fragen des Podcasts beschäftigen sollen, bevor sie diese "Abwehr" ins Leben gerufen haben.

Mal angenommen - ist jetzt!

Nun existiert diese "Waffengattung" und nach ihrer Selbstbeschreibung gehen ihre Aufgaben über eine normale Abwehr weit hinaus. Also einfach mal hinein hören in "Deutschland hackt zurück" ...

Denn völkerrechtlich ist ein Cyberangriff, der in der Regel beliebige Kollateralschäden hinterlassen kann (Krankenhäuser, Verkehrs- und Energie-Infrastruktur), grundsätzlich verboten. Einige realistische Eindrücke bis zum Zusammenbruch der zivilen Ordnung zeigt das Buch und der Fernsehfilm "Blackout" von Marc Elsberg. Außerdem ist Angriff nie die beste Verteidigung!

Gegen die Aufklärung von Cyberangriffen haben wir natürlich nichts, im Gegenteil. Das Problem liegt in der Schwierigkeit des Erkennens desjenigen, der ihn wirklich ausführt. Die False Positives, die fälschlicherweise Verdächtigten, werden bei Cyberangriffen absichtlich produziert. Es ist wie bei einer Zwiebel - erinnert an das Tor Netzwerk - hinter jedem Identifizierten kann wieder ein anderer stecken.

Welche Identifizierten ist nun eine legitimes Ziel und welche Kollateralschäden sind im jeweiligen Einzelfall nach dem Völkerrecht "erlaubt"? Interessanterweise werden in dem Podcast Staaten genannt, die typischerweise Cyberangriffe durchführen. Neben den üblichen Verdächtigen wie China, Russland und Iran werden da auch Israel, die USA und Großbritannien genannt. Dass damit auch "westliche Demokratien" vorsätzlich das Völkerrecht brechen, wird einfach hingenommen.

Das heißt für die Bundeswehr aber nicht, dass sie da auch einfach mitmischen dürfte. Deutschland hat eine Parlamentsarmee, das würde bedeuten, dass ein mit dem Grundgesetz verträglicher Cyberangriff zuvor durch ein Bundestagsmandat abgesegnet werden müsste - praktisch unmöglich. Ein Statement des Verteidigungsministers zu dieser Frage wäre sicher hilfreich ...

Das Fazit des Podcast nach der durch Constanze Kurz vom Chaos Computer Club (CCC) erklärten Problems mit den "Hintertüren" in Software, ist eindeutig. Nur über solche Hintertüren sind überhaupt Cyberangriffe möglich. Statt diese schnellstmöglich zu schließen, wenn sie entdeckt wurden, nutzen (auch) staatliche Hacker sie für ihre "Cyber-Abwehr". Deshalb könnte man sich diese ganze 4. Waffengattung sparen, wenn man die IT-Sicherheit fördern und gefundene Löcher schnellstens stopfen anstatt selbst ausnutzen würde.

Dem ist nichts hinzuzufügen!

Mehr dazu bei https://www.ardaudiothek.de/episode/der-tagesschau-zukunfts-podcast-mal-angenommen/deutschland-hackt-zurueck-was-dann/tagesschau/13511141/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/77
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8824-20240630-cyberkrieg-ist-voelkerrechtswidrig.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8824-20240630-cyberkrieg-ist-voelkerrechtswidrig.html
Tags: #Cyberkrieg #völkerrechtswidrig #Cyberwar #Hacking #Trojaner #Militär #Bundeswehr #Aufrüstung #Frieden #Krieg #Podcast #ARD #Audiothek

Blackout – Morgen ist es zu spät – Wikipedia

One person like that
aktionfsa@diasp.eu
Aktion Freiheit statt

Quellenschutz in Gefahr

Artikel 5 GG verletzt

Vor eineinhalb Jahren wurden die Räume des Radiosenders Dreyeckland (RDL) in Freiburg und auch von Fabian Kienert, der als freier Journalist und Redakteur für den Sender arbeitete durchsucht. Von ihm wurden verschlüsselte und unverschlüsselte Daten auf einem Laptop, zwei Handys, fünf USB-Sticks und eine SD-Karte beschlagnahmt. Er bekam die Datenträger nach einigen Tage zurück nachdem die Polizei die Daten kopiert hatte.

Inzwischen ist er vom Verdacht freigesprochen worden eine verbotene Vereinigung unterstützt zu haben. Nun möchte er, dass seine Daten auch gelöscht werden. Bereits die Beschlagnahme sieht er und viele Bürgerrechtler als unzulässig an. Denn eigentlich hätten seine Daten durch den Quellenschutz und das Redaktionsgeheimnis, abgeleitet aus Artikel 5 des Grundgesetzes, geschützt sein müssen.

Dies ist noch nicht geschehen, weil die Staatsanwaltschaft nach seinem Freispruch durch das Landgericht Karlsruhe Revision beantragt hat. Die ursprüngliche Grundrechtsverletzung bleibt damit bestehen und die Behörden reagieren nicht auf entsprechende Nachfragen zur Löschung der Daten.

Fabian Kienert sagt auf Netzpolitik.org dazu: „So lange nicht alle Daten gelöscht sind, bleibt eine Unsicherheit, was mit ihnen geschieht. Vollständiges Vertrauen, dass sie nicht ausgewertet werden, ist bei mir nicht vorhanden. Die ganze Hausdurchsuchung war meiner Meinung nach von Anfang an rechtswidrig und wurde trotzdem durchgezogen.”

Seine Sorge gilt vor allem seiner privaten Kommunikation, die häufig unverschlüsselt war und unzulässige "Hinweise" auf seine Bekannten und Freunde geben könnte, während er seine Arbeit für den Sender für gut verschlüsselt hält, IT Spezialisten gehen von 10 hoch 15 Jahren Aufwand aus sein Passwort raten zu können.

Dieser Fall zeigt einmal mehr, wie wichtig die Verschlüsselung unsere Kommunikation ist - und in diesen Artikeln zeigen wir, wie einfach das machbar ist: Sichere Messenger , Privatsphäre schützen - Was kann ich tun?

Mehr dazu bei https://netzpolitik.org/2024/nach-der-razzia-die-daten-von-radio-dreyeckland/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3B9
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8809-20240615-quellenschutz-in-gefahr.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8809-20240615-quellenschutz-in-gefahr.html
Tags: #Quellenschutz #Durchsuchungen #Polizei #Geheimdienste #Hacking #Beschlagnahme #Art.5GG #Pressefreiheit #Transparenz #Informationsfreiheit #RadioDreyeckland #indymedia #linksunten #Beschlagnahme #Freispruch

3 Likes
aktionfsa@diasp.eu
Aktion Freiheit statt

Happy Patchday bei Microsoft

Updates dringend notwendig

Zum Patchday im Juni nennt Microsoft mehrere Lücken im aktuellen Level der Updates. Die Admins von Windows- und Windows-Server-Systemen werden aufgefordert sicherzustellen, dass die Updatefunktion aktiv ist und die aktuellen Sicherheitspatches installiert sind.

Genannt werden folgende Sicherheitslücken:

  • eine "kritische" Schwachstelle (CVE-2024-30080) im Microsoft-Message-Queuing-Service (MSMQ),
  • bei (CVE-2024-35255 "hoch") können sich Angreifer unter anderem in Azure höhere Nutzerrechte verschaffen,
  • Microsoft Dynamics 365 Business Central ist für Schadcode-Attacken (CVE-2024-35249 "hoch") anfällig,
  • auch Office (CVE-2024-30102 "hoch") und Outlook (CVE-2024-30103 "hoch") können als Schlupfloch für Schadcode dienen.

Wir verweisen einfach auf den Schlusssatz unseres gestrigen Artikels, in dem es um die gesperrte Windows Installation ohne Microsoft Cloud Konto ging: Wer will schon ein Betriebssystem, welches ständig "nach Hause telefoniert". Wir wollen schließlich nicht dauerhaft die Sklaven der Internetgiganten, GAFAM (Google, Amazon, Facebook, Apple, Microsoft) bleiben, "Meine Daten gehören mir".

Mehr dazu bei https://www.heise.de/news/Patchday-Schadcode-kann-sich-auf-Windows-Servern-wurmartig-ausbreiten-9758875.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3B7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8807-20240613-happy-patchday-bei-microsoft.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8807-20240613-happy-patchday-bei-microsoft.html
Tags: #Patchday #Lücken #Schadcode #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Scoring #Microsoft #WindowsServer #nachHausetelefonieren #OpenSource #Hacking #Trojaner #Clouddienste #Verschluesselung

2 Likes
1 Shares
aktionfsa@diasp.eu
Aktion Freiheit statt

Microsoft macht uns das Leben schwer

Nur noch eine Möglichkeit für lokales Konto

Das Leben ohne eine Microsoft-Konto wird immer schwerer. Die vorletzte Möglichkeit zur lokalen Installation von Windows 11 wurde nun vom Konzern blockiert. Damit sollen nach Ansicht von Microsoft noch mehr Menschen von den "Vorzügen" von der Nutzung seiner Cloud-Dienste und -Konten "überzeugt" werden.

Bis vor wenigen Tagen konnte man bei der Windows 11 Installation ein nicht existierendes Konto wie z.B. "Windows" oder "Microsoft" und ein beliebiges (ungültiges) Passwort eingeben. Dieser Weg ist nun blockiert. Bisher kam der Hinweis, dass das Konto aus Sicherheitsgründen gesperrt sei und anschließend konnte man ein lokales Konto einzurichten. Jetzt bricht die Installation an dieser Stelle ab.

Gewußt wie

Heise.de weist auf die letzte Möglichkeit hin, die nicht so einfach ist wie die oben aber auch nur aus 3 Schritten besteht. Um Windows 11 mit einem lokalem Konto ohne Cloud zu installieren, kappt man bei der Installation die Netzwerkverbindungen. Windows merkt dies und weist daraufhin, dass keine Internetverbindung besteht. Drückt man nun die Tastenkombination Shift (Umschalten) und gleichzeitig F10 öffnet sich die Eingabeaufforderung von Windows. Dort gibt man den Befehl oobe\bypassnro ein und das Windows-Setup startet erneut. Nun hat man nach der erneuten Länder- und Tastatureinstellung erneut die Möglichkeit ein Konto einzurichten, allerdings zusätzlich mit der Option "Ich habe kein Internet". Damit ist das Anlegen eines lokalen Kontos möglich.

Bessere Alternative(n)

Auch diese letzte Möglichkeit wird sicher irgendwann dicht gemacht und deshalb schlagen wir vor, gleich zu einem freien und offenen Betriebssystem wie Linux zu wechseln. Wer will schon ein Betriebssystem, welches ständig "nach Hause telefoniert". Wir wollen schließlich nicht dauerhaft die Sklaven der Internetgiganten, GAFAM (Google, Amazon, Facebook, Apple, Microsoft) bleiben, "Meine Daten gehören mir".

Mehr dazu bei https://www.heise.de/news/Microsoft-blockiert-weiteren-Weg-zur-Windows-Installation-mit-lokalem-Konto-9756226.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3B6
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8806-20240612-microsoft-macht-uns-das-leben-schwer.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8806-20240612-microsoft-macht-uns-das-leben-schwer.html
Tags: #Arbeitnehmerdatenschutz #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Scoring #Microsoft #Windows11 #nachHausetelefonieren #OpenSource #Hacking #Trojaner #Clouddienste #Verschluesselung #lokalesKonto

heise online - IT-News, Nachrichten und Hintergründe | heise online

News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.

3 Likes
5 Shares
aktionfsa@diasp.eu
Aktion Freiheit statt

Bezahlkarte mit Sicherheitslöchern und Trackern

Upps, Digitalisierung ging mal wieder daneben

Das war mal wieder nichts - erst das große Geschrei "wir müssen den Missbrauch unseres Sozialssystems stoppen" und dann kommt eine Bezahlkarte, die man besser "Datenklaukarte" nennen sollte. Nächster Punkt: "bundeseinheitlich" ging mal wieder nicht, wie unser Schulsystem, also muss man sich jetzt jede einzelne Bezahlkarte vornehmen und diese auf Schwachstellen untersuchen.

Das haben die Sicherheitsforscher Tim Philipp Schäfers und Niklas Klee jetzt bei 3 Versionen der Karte und der zugehörigen Apps zum Blick auf das Konto detailliert gemacht. Neben Datenschutzverstößen fanden Sie teils erhebliche Sicherheitslücken und Tracker.

  • Die Bezahlkarte der Anbieter "PayCenter GmbH" und "petaFuel GmbH" mit derzeitigem Einsatzgebiet Bayern erlaubt über eine sogenannte "XSS-Lücke" Hackern den Login von anderen Nutzern,
  • möglich wäre Kontostände und sensible Daten einzusehen, Geld abzubuchen, Online-Käufe vorzunehmen (damit könnten Asylleistungen zwar nicht zu Familienangehörigen im Ausland aber auf die Konten Krimineller abfließen),
  • in der "SecuPay-App", der Online-Banking-App der Bezahlkarte "SocialCard", fanden Sie unter anderem elf Tracker (Verstoß gegen die DSGVO).

Julia Witte vom Verein "Digitalcourage e.V." mit Sitz in Bielefeld beurteilt die Karten und ihre Schachstellen ebenfalls als höchst problematisch. Die Unternehmen der Hersteller weisen alle Vorwürfe zurück und verweisen bezüglich der Datenweitergabe an US Unternehmen auf das bei vielen Apps übliche Verhalten.

Mehr dazu bei https://www1.wdr.de/nachrichten/westfalen-lippe/sicherheitsluecke-bezahlkarte-gefluechtete-100.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3AT
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8794-20240531-bezahlkarte-mit-sicherheitsloechern-und-trackern.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8794-20240531-bezahlkarte-mit-sicherheitsloechern-und-trackern.html
Tags: #Bezahlkarte #Digitalisierung #Apps #Schwachstelle #DSGVO #Datenweitergabe #Tracker #Hacking #Trojaner #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale #Diskriminierung #Ungleichbehandlung #Persönlichkeitsrecht #Privatsphäre #Anonymisierung

Bezahlkarte für Geflüchtete: Forscher aus OWL finden Sicherheitslücken

Sicherheitsforscher aus OWL haben drei Anbieter von Bezahlkarten für Geflüchtete untersucht. Die dazugehörigen Online-Banking-Apps weisen offenbar gravierende Sicherheitslücken auf.

3 Likes
One person like that
aktionfsa@diasp.eu
Aktion Freiheit statt

11.05.2024 Ermittlungen gegen Datenschutz-NGO

Kein Dank für Hacker

In Österreich wurde 2 Jahre gegen die Datenschutz -NGO epicenter.works ermittelt, nachdem diese eine Sicherheitslücke im Epidemiologischen Meldesystems aufgedeckt hatten. Vor der Veröffentlichung der Lücke hatten sie nach den Prinzipien des responsible disclosure dem Gesundheitsministerium das Problem mitgeteilt, damit die es rechtzeitig schließen konnten.

Die Lücke erlaubte den Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) durch nicht-personalisierte Zertifikate. Damit hätten Corona Daten in Österreich in falsche Hände gelangen können.

Eine Woche nach der Veröffentlichung der Lücke in der Presse stellten nach Angabe von epicenter.works zwei hochrangige Beamte aus dem Gesundheitsministerium Anzeige wegen § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) und ermächtigten so die Strafverfolgung gegen die NGO im Namen des damaligen Ministers, schreibt Netzpolitik.org.

Erst jetzt sind die Ermittlungen nach 2 Jahren eingestellt worden. Datenschützer fordern seit Jahren eine Änderung der entsprechenden Gesetze.

Mehr dazu bei https://netzpolitik.org/2024/oesterreich-ermittlungen-gegen-buergerrechtsorganisation-wegen-angeblichen-hackings
Kategorie[17]: Presse Short-Link dieser Seite: a-fsa.de/d/3Aw
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8773-20240511-ermittlungen-gegen-datenschutz-ngo.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8773-20240511-ermittlungen-gegen-datenschutz-ngo.html
Tags: #Überwachung #Hacking #Österreich #Corona #Datenbanken #Transparenz #Gesundheitsdaten #sensibel #Verfolgung #NGO #Polizei #Gesundheitsminister #responsibledisclosure #Lücke

2 Likes