Aktuelle Sicherheitslücken

Dreamforcer

New world Order

Registered: Nov 2002
Location: Tirol
Posts: 9018

29.11.2017 - 20:39

hat jemand grad ne beta rennen vom 10.13.2 ? ich hab irgendwie die vermutung dass das bei den dev versionen aktiv ist und bei der final einfach ein flag nicht entfernt wurde als die die kompilierten

Hubman

Seine Dudeheit

Registered: May 2000
Location: Nürnberg vs. Vl..
Posts: 5835

30.11.2017 - 18:10

Zitat aus einem Post von Smut
Immerhin. Schnelles Update.
About the security content of Security Update 2017-001

This document describes the security content of Security Update 2017-001.
Link: support.apple.com

für diesen patch haben jetzt auch gleich wieder einen patch rausgebracht....
oder man lösts im terminal https://support.apple.com/en-us/HT208317

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

30.11.2017 - 22:50

scnr

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

06.04.2018 - 22:05

Tweet-URL: https://twitter.com/tmobileat/status/981418339653300224

Der Thread. Also ich würde mich als Kunde bei T-Mobile entweder abmelden, oder schnell mein Passwort ändern.

Tweet-URL: https://twitter.com/tmobileat/status/982187919061303296

¯\_(ツ)_/¯

Bearbeitet von Hansmaulwurf am 06.04.2018, 22:07

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25422

06.04.2018 - 22:36

Breach in 3 .. 2 .. 1 ..

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

07.04.2018 - 14:00

"We store the whole password, because you need it for the login..." ?
wtf? das liest sich so, als müssten sie es plaintext speichern, weil's sie's ja sonst nicht validieren können :bash:

das muss sarkastisch gemeint sein, oder virales marketing? not sure.
vorallem dann die ansage: "because our security is amazingly good?"

möglicherweise wurde der twitter account bereits gehacked, oder der mitarbeiter ist stoned?

ich lese im darkweb schon den satz: challenge accepted

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3542

07.04.2018 - 14:01

Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

07.04.2018 - 14:08

Zitat aus einem Post von Bogus
ich lese im darkweb schon den satz: challenge accepted

Dafür brauchts kein Darkweb, weil die Security-Forscher da auch so relativ offen sind, aber ja, international hieß es schon challenge accepted

T-Mobile.at prahlt mit "amazing security", wird weltweit zur Lachnummer

Passwörter offenbar teilweise im Klartext gespeichert, Webseite mit groben Fehlern

Link: derstandard.at

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

07.04.2018 - 14:26

Zitat aus einem Post von UnleashThebeast
Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...

Die Passwörter selbst sind idr. In solchen Systemen nicht im plaintext gespeichert. Sondern verschlüsselt mit protokolliertem Zugriff. Helpdesk darf 4 stellen sehen, gewisses Personal kann jedoch alle einsehen, das Problem besteht bei Verschlüsselung einfach.

Hier kommen zwei Phänomene zusammen: gängige Praxis bei Helpdesks zur Useridentifierzirung und Social Media.

Finde diese Variante zur User-Authentifizierung via Helpdesk veraltet, ist aber nicht nur bei t-Mobile so, T-Mobile fasst es jetzt halt aus.
Kann mich erinnern, dass ich auch beim MS Helpdesk mal eine ähnliche Situation hatte.

~PI-IOENIX~

Pappenschlosser

Registered: Nov 2002
Location: mühl4tl / graz
Posts: 4693

07.04.2018 - 14:51

Wie kommt der österreichische Bundestrojaner aus Handy ?

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

07.04.2018 - 15:33

wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.

semteX

begehrt die rostschaufel

Registered: Oct 2002
Location: Pre
Posts: 14592

07.04.2018 - 15:35

das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16837

07.04.2018 - 16:54

Zitat aus einem Post von semteX
das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.

Genau.
Bei T-Mobile eben nicht.
Gut gemeint aber halt problematisch da die Leute oft ein Shared Passwort verwenden, etwas anderes kannst halt auch nur schlecht z.b. Telefonisch durchgeben.

Zitat aus einem Post von Bogus
wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.

Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3170

07.04.2018 - 17:50

Zitat aus einem Post von Smut
Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.

+1

aber speziell in hinblick auf die DSGV stellen wir das entsprechend um. technisch ist es ja relativ wenig aufwand.
der support wird sich damit aber sicher noch ärgern.....

@semteX: aber auch das kundenkenntwort sollte encrypted in der DB stehen.
bringt ja auch ein sicherheitsrisiko mit sich, wenn sich der kunde telefonisch damit authorisiert.

Bearbeitet von Bogus am 07.04.2018, 17:55

Rektal

Here to stay

Registered: Dec 2002
Location: Inside
Posts: 4452

07.04.2018 - 20:09

Wenn die DSGV anrollt, koennen wirs verifizieren: einfach alle Daten anfordern und schauen welche "spalten" komen

Dreamforcer New world Order Registered: Nov 2002 Location: Tirol Posts: 9018	29.11.2017 - 20:39 hat jemand grad ne beta rennen vom 10.13.2 ? ich hab irgendwie die vermutung dass das bei den dev versionen aktiv ist und bei der final einfach ein flag nicht entfernt wurde als die die kompilierten
Hubman Seine Dudeheit Registered: May 2000 Location: Nürnberg vs. Vl.. Posts: 5835	30.11.2017 - 18:10 Zitat aus einem Post von Smut Immerhin. Schnelles Update. About the security content of Security Update 2017-001 This document describes the security content of Security Update 2017-001. Link: support.apple.com für diesen patch haben jetzt auch gleich wieder einen patch rausgebracht.... oder man lösts im terminal https://support.apple.com/en-us/HT208317
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	30.11.2017 - 22:50 scnr
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	06.04.2018 - 22:05 Tweet-URL: https://twitter.com/tmobileat/status/981418339653300224 Der Thread. Also ich würde mich als Kunde bei T-Mobile entweder abmelden, oder schnell mein Passwort ändern. Tweet-URL: https://twitter.com/tmobileat/status/982187919061303296 ¯\_(ツ)_/¯ Bearbeitet von Hansmaulwurf am 06.04.2018, 22:07
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25422	06.04.2018 - 22:36 Breach in 3 .. 2 .. 1 ..
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	07.04.2018 - 14:00 "We store the whole password, because you need it for the login..." ? wtf? das liest sich so, als müssten sie es plaintext speichern, weil's sie's ja sonst nicht validieren können das muss sarkastisch gemeint sein, oder virales marketing? not sure. vorallem dann die ansage: "because our security is amazingly good?" möglicherweise wurde der twitter account bereits gehacked, oder der mitarbeiter ist stoned? ich lese im darkweb schon den satz: challenge accepted
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3542	07.04.2018 - 14:01 Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben? Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	07.04.2018 - 14:08 Zitat aus einem Post von Bogus ich lese im darkweb schon den satz: challenge accepted Dafür brauchts kein Darkweb, weil die Security-Forscher da auch so relativ offen sind, aber ja, international hieß es schon challenge accepted T-Mobile.at prahlt mit "amazing security", wird weltweit zur Lachnummer Passwörter offenbar teilweise im Klartext gespeichert, Webseite mit groben Fehlern Link: derstandard.at
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	07.04.2018 - 14:26 Zitat aus einem Post von UnleashThebeast Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben? Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen... Die Passwörter selbst sind idr. In solchen Systemen nicht im plaintext gespeichert. Sondern verschlüsselt mit protokolliertem Zugriff. Helpdesk darf 4 stellen sehen, gewisses Personal kann jedoch alle einsehen, das Problem besteht bei Verschlüsselung einfach. Hier kommen zwei Phänomene zusammen: gängige Praxis bei Helpdesks zur Useridentifierzirung und Social Media. Finde diese Variante zur User-Authentifizierung via Helpdesk veraltet, ist aber nicht nur bei t-Mobile so, T-Mobile fasst es jetzt halt aus. Kann mich erinnern, dass ich auch beim MS Helpdesk mal eine ähnliche Situation hatte.
~PI-IOENIX~ Pappenschlosser Registered: Nov 2002 Location: mühl4tl / graz Posts: 4693	07.04.2018 - 14:51 Wie kommt der österreichische Bundestrojaner aus Handy ?
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	07.04.2018 - 15:33 wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.
semteX begehrt die rostschaufel Registered: Oct 2002 Location: Pre Posts: 14592	07.04.2018 - 15:35 das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16837	07.04.2018 - 16:54 Zitat aus einem Post von semteX das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun. Genau. Bei T-Mobile eben nicht. Gut gemeint aber halt problematisch da die Leute oft ein Shared Passwort verwenden, etwas anderes kannst halt auch nur schlecht z.b. Telefonisch durchgeben. Zitat aus einem Post von Bogus wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted. Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3170	07.04.2018 - 17:50 Zitat aus einem Post von Smut Das ist die bessere Lösung benötigt aber 2x secrets beim enduser. +1 aber speziell in hinblick auf die DSGV stellen wir das entsprechend um. technisch ist es ja relativ wenig aufwand. der support wird sich damit aber sicher noch ärgern..... @semteX: aber auch das kundenkenntwort sollte encrypted in der DB stehen. bringt ja auch ein sicherheitsrisiko mit sich, wenn sich der kunde telefonisch damit authorisiert. Bearbeitet von Bogus am 07.04.2018, 17:55
Rektal Here to stay Registered: Dec 2002 Location: Inside Posts: 4452	07.04.2018 - 20:09 Wenn die DSGV anrollt, koennen wirs verifizieren: einfach alle Daten anfordern und schauen welche "spalten" komen

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

Dreamforcer

Hubman

Hansmaulwurf

Hansmaulwurf

mat

Bogus

UnleashThebeast

Hansmaulwurf

Smut

~PI-IOENIX~

Bogus

semteX

Smut

Bogus

Rektal