Datenschleuder und klaut des tages

Tut alles in die klaut, haben sie gesagt. Das ist hipp, modern, sicher, zukunft und internetz, haben sie gesagt. Vor allem internetz ist es, und dort vor allem für die ganze welt ohne besonderen aufwand verfügbar, wenn es nicht die spur eines zugriffsschutzes gibt:

Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern [sic!] frei im Internet zugänglich aufbewahrt […] in einem offenen S3-Bucket in der Amazon-Cloud […] 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden […] die gescannten Verträge […] schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen

Hl. scheiße! Was für tolle daten für verbrecher, stalker, perverslinge, erpresser und vergleichbares geschmeiß. Aber die haben bei „pussycash“ — tolle firmierung übrigens — doch sicherlich die daten zu den ganzen alten verträgen gelöscht, dass da nicht irgendwann einmal jemand oder jefrud mit einst jugendlichem herangehen an den gelderwerb bloßgestellt werden kann, oder? ODER? Nein, haben sie nicht:

Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen

Och nö, löschen ist viel zu 20. jahrhundert, das wird alles langfristig gespeichert. Langfristig und maximal verantwortungslos. Was kann da schon schiefgehen.

Auch weiterhin viel spaß beim festen glauben an den überall so leicht und konsekwenzenlos versprochenen schutz eurer persönlichen daten! Und natürlich viel spaß beim festen glauben an die moderne, einfache und sichere datenablage in der klaut. Die liste wäxt und wäxt und wäxt

Freut ihr euch auch so auf die elektronische pazjentenakte?

Forscher fanden insgesamt über eine Milliarde personenbezogene Patientendaten auf unsicher konfigurierten Servern im Internet

Keine sorge, in der BRD wurden zur abwexlung mal alle anfälligen sörver rechtzeitig vom internetz getrennt. Die milljarde datensätze stammen von sörvern mit bekannter sicherheitslücke, die einfach am internetz weiterbetrieben wurden.

Datenschleuder des tages

Wyze, eine klitsche, die überwachungsgeräte für das „smart home“ vermarktet, hat die daten von 2,4 milljonen nutzern veröffentlicht. Diesmal neben den üblichen persönlichen daten auch lecker gesundheitsdaten!

Tja, so ist das eben, wenn man überwachungsgeräte ins wahnzimmer stellt. Dann wird halt das private öffentlich. Und wenn man den überwachungsgeräten eine körperschnittstelle gibt, dann wird halt der körper öffentlich. Ihr freut euch doch bestimmt sogar darüber, dass so ein feind und stinkendes arschloch wie Jens Spahn (CDU) euch in kooperazjon mit euren scheißkrankenversicherungen dazu nötigen will, eure gesamten gesundheitsdaten auf zentralen sörvern und damit auf vielversprechenden angriffszielen vorzuhalten! Erich Mielke wäre so stolz auf euch gewesen! Leute, die einfach auf ihre freiheitsrechte scheißen, weil sie so schönen techniktinnef kriegen, und die sogar noch auf eigene kosten die batterien der wanzen aufladen!

Aber keine sorge, die datenschleudern von wyze nehmen das mit der datensicherheit echt jetzt mal total ernst:

We’ve always taken security very seriously, and we’re devastated that we let our users down like this

Dann ist ja alles in bester ordnung! 🤦

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Datenschleuder des tages ist das landratsamt coburg [archivversjon]:

Eine Festplatte aus dem Landratsamt Coburg, auf der sich personenbezogene Daten von Bürgern befanden, ist in den freien Handel gelangt […] Über 12.000 Dokumente und E-Mails sowie Passwörter seien auf der Festplatte aus dem Landratsamt zu finden gewesen

Hervorhebung von mir. Aber keine panik:

Auch beim bayerischen Datenschutzbeauftragten wurde der Vorfall zur Anzeige gebracht. Dort heißt es, derartige Vorfälle kämen häufiger vor

Bayerische Kommunen scheißen also generell auf den datenschutz. Das ist alles ganz normal. Kann man nix gegen machen. 🤦

Auch beim staat sind daten niemals sicher. Manchmal werden sie sogar einfach vom staat auf ihh-bäh versteigert, so dass man nicht extra ins so genannte „darknet“ gehen muss. Aber trotzdem weiterhin viel spaß beim festen glauben an den überall versprochenen datenschutz! Die liste wäxt und wäxt und wäxt.

Noch eine datenschleuder des tages

Eine Datenbank mit Basisinformationen von mehr als 267 Millionen Facebook-Usern befand sich rund zwei Wochen lang auf einem ungesicherten Server im Internet. Die Datensätze bestanden offenbar aus Namen, Telefonnummer und zugehöriger User-ID […] Mitte Dezember auf eine Elasticsearch-Datenbank mit den Daten gestoßen, die seit dem 4. Dezember ohne Passwortschutz im Netz stand

Wisst ja: spaß, glauben, datenschutz, liste, wäxt! Wer immer noch beim spämmigen, trojanerprogrammierenden, stinkenden scheißfratzenbuch ist, hat bei mir eh kein mitleid mehr gut. Da werden es viele erst bemerken, wenn es sehr lästig und teuer wird, wenn ihre identität missbraucht wird oder wenn alle ihre „freunde“ mit trickbetrügereien der marke „hallo, ich hänge hier in barcelona fest, habe geld und papiere verloren, kannste mir mal schnell zweihundert øre über western union schicken, dass ich zur botschaft komme, kriegste gleich übernächste woche zurück“ abgezogen werden. So ist das eben, wenn man seine ganzen sozjalkontakte an ein beschissenes und unseriöses geschäftsmodell verkauft.

Aber ihr könnt ja mal abwarten, wie hoch jetzt das bußgeld nach DSGVO wird. An dessen höhe könnt ihr dann erkennen, ob es dabei wirklich um datenschutz geht, oder ob es nicht doch nur um die einschüchterung normaler, nicht-gewinnorientierter mitgestalter des webs geht. Ich habe da ja so einen verdacht… 😦

WanzÄpp des tages

Müsst ihr verstehen, leute, der jornalist hats euch ja auch gesagt: wenn dieses wanzäpp vom fratzenbuch für jeden seiner nutzer öffentlich macht, wann der onlein ist, ist das kein datenschutzproblem, aber wenn eine zweitäpp von irgendeiner windigen klitsche diese daten hübsch aufbereitet, ist das ein datenschutzproblem.

Auch weiterhin viel spaß mit wanzäpp! Und mit dem jornalismus, natürlich… 🤦

Datenschleuder des tages

Datenschleuder des tages ist die lufthansa:

Am vergangenen Montag konnten Miles-and-More-Kunden zeitweise vertrauliche Daten anderer, zeitgleich im Portal eingeloggter Kunden sehen

Wie kriegt man es nur hin, so zu verkacken! Kunde max mustermann meldet sich an und kriegt eine eindeutige sitzungs-ID zugewiesen und als cookie gesetzt, über die er bei jedem weiteren zugriff identifiziert wird. Offenbar haben es irgendwelche kwalitätsprogger geschafft, nicht zu testen, ob eine solche ID schon vergeben ist — und dann wurde halt mal der andere kunde sichtbar, der die gleiche ID erhalten hat. Aber selbst das erklärt nicht das ganze ausmaß des verkackens, denn so eine ID wird ja wohl mindestens 64 bit haben, besser mehr, so dass es kaum zu kollisjonen kommen kann. Und trotzdem prüft man kurz, um einfach eine andere ID zu erzeugen, wenn eine ID schon vergeben wurde. Jedenfalls, wenn man ein sorgfältiger progger ist.

Ich vermute, die verwenden einen pseudozufallszahlengenerator für ihre IDs, und der wurde mit einem nicht besonders sicheren wert (zum beispiel die uhrzeit des seitenaufrufs) initialisiert, so dass in der gleichen sekunde alle anmeldungen auf die gleiche ID führen. Im testsystem mit den üblichen test-cases hat das niemand bemerkt, aber als dann die ungleich größere last eines produkzjonssystems mit ihren unmengen von anmeldevorgängen kam, ist den proggern die verkackte, dumme entscheidung um die ohren geflogen. Davon, dass so etwas auch eine einladung an cräcker ist, die mit leichtigkeit andere sitzungen übernehmen können, fange ich gar nicht erst an.

Wie ich darauf komme? So einen fehler (PRNG mit time(), auflösung ist eine sekunde, initialisiert und daraus sitzungs-IDs gemacht) habe ich vor langer zeit mal in der webseit eines großen deutschen vereins gefunden, die übrigens in einer kleinen unternehmung von einem azubi geproggt wurde, aber deshalb natürlich nicht als von einem azubi geproggt abgerechnet wurde. Die vorstellung, dass im moment so eine ähnliche „kwalität“ — die PHP-kwelltexte bei dem projekt, an das ich mich erinnere, kamen direkt aus dem gruseligsten ring der hölle — bei der lufthansa im einsatz sein könnte, finde ich sehr erheiternd. Das wird dann nämlich richtig teuer. Und der datenschutzbeauftragte wird in den nächsten monaten immer wieder mal zu tun kriegen. Aber so ist das halt, wenn billig geproggt wird. Dann wird halt später teuer gezahlt. Und oft von jemanden anders, der schon zu viel fürs billige proggen bezahlt hat.

Wie gesagt, es ist auszuschließen, dass so ein fehler einem guten, sorgfältig vorgehenden progger passiert. Ich meine jetzt keinen guru, sondern einen durchschnitts-entwickler oder fortgeschrittenen amatör, der meistens weiß, was er tut. Der macht schon in der datenbank einen UNIQUE KEY, damit der UPDATE mit einer nicht-eindeutigen sitzungs-ID fehlschlägt. Das muss dann nur noch erkannt und abgefangen werden, indem man eine neue ID generiert und es nochmal probiert, bis es klappt; so schwer schreibt sich ein repeat-until-block nicht.

Security des tages

Man kann man zurzeit rd. 455.000 kreditkartendaten aus der türkei käuflich erwerben, wenn man so richtig betrügen will.

Wo die daten jetzt wieder herkommen? Nun, zu den daten gibt es unter anderem mäjhladressen…

Alle gestohlenen Kredit – und Debitkarten Einträge in dieser Datenbank wurden als Rohkartendaten, auch als CCs oder Fullz bezeichnet, identifiziert. Sie enthielten allesamt die folgenden Informationen: Ablaufdatum, CVV / CVC, Name des Karteninhabers sowie einige zusätzliche Informationen, wie E-Mail, Name und Telefonnummer

…so dass ziemlich sicher ist, dass sie auf gecräckten webseits mitgenommen wurden. Denn am geldautomaten muss man ja nicht die mäjhladresse eingeben. Stattdessen wurden vermutlich javascript-skimmer in diverse kommerzwebseits eingebettet, die diese daten rausgetragen haben. Was jetzt ein javascript-skimmer sein soll? Im wesentlichen ein irgendwie in die seite integriertes stück javascript-kohd (zum beispiel über ein werbebanner oder nach einem erfolgreichen kräck einer webseit), das die eingegebenen daten abfängt und zusätzlich zur normalen funkzjon unsichtbar an einen dritten sendet und danach einfach verschwindet [link geht auf einen englischen text]:

Pipka ist ein javascript-skimmer, der auf zahlungsinformationen abzielt, die in geschäftlichen webseits eingegeben werden. Pipka ist in der lage, sich nach ausführung aus dem HTML der betroffenen webseit zu entfernen, was die erkennung nahezu unmöglich macht […] Kunden füllen formulare aus und machen einkäufe, ohne jemals zu bemerken, dass ihre daten gefährdet sind.

Auch weiterhin viel spaß mit javascript! Ihr werdet noch sehnsucht nach fläsch kriegen! Trotzdem werdet ihr bestupst und belogen, damit ihr glaubt, dass nichts mehr ohne javascript geht (beispiel, noch ein beispiel). Obwohl eine webseit dadurch oft lahmarschig und schwierig benutzbar wird. Gruß auch an golem!

Ach ja: fällt euch übrigens auf, dass scheißjornalisten niemals auf die sicherheitsprobleme mit javascript hinweisen? Wenn vergleichbare probleme mit „fläsch“ aufgetreten wären, wäre klar, was geschrieben würde. Jornalismus ist nicht aufklärung und informazjon, jornalismus ist verdummung, hirnfick, desinformazjon und manipulazjon, finanziert von reklameunternehmen.

Schlangenöl des tages

Die Firefox-Erweiterungen von Avast und AVG sind derzeit nicht im Addons-Verzeichnis gelistet. Sie haben offenbar private Daten weitergegeben

Auch weiterhin viel spaß mit dem ganzen schlangenöl! Es hilft zwar nicht, aber ihr könnt euch sicherer fühlen, wenn ihr ein heiligenbild im auto… ähm… irgendeine security-bullshit-softwäjhr laufen lasst. Wer will es den herstellern solcher hokuspokusprogramme schon verdenken, dass sie dann gleich dazu übergehen, profile von menschen anzulegen, denen man jeden scheiß verkaufen kann.

Ich bin ja mal gespannt, wie hoch das bußgeld nach DSGVO für diese trojanifizierung des webbrausers wird! Ach, für den datenschutz im sinne des schutzes von menschen vor solchen machenschaften ist die DSGVO gar nicht gemacht, sondern nur zum einschüchtern von privaten webseitbetreibern. Ich verstehe.

Datenschleuder des tages

„Mixcloud“ hat die benutzernamen, mäjhladressen, gut gehäschten passwörter und technischen anmeldeinformazjonen von mehr als zwanzig milljonen nutzern „veröffentlicht“.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Datenschleuder des tages ist „oneplus“, die „veröffentlichten“ kundendaten werden bereits von kriminellen in phishing-spämms verwendet. Moment, die hatten doch vor zwei jahren auch schon… ja, die hatten januar 2018 auch schon daten „veröffentlicht“, einschließlich des CVC zu kreditkarten, der gar nicht gespeichert werden darf. Erstaunlicherweise hatte dieses „oneplus“ trotzdem noch kunden, die diesem schuppen irgendwelche persönlichen daten anvertraut haben, als ob es nix wäre und als ob es keinen identitätsmissbrauch gäbe. Und hej, „dennoch will man weitere maßnahmen ergreifen, um den schutz der kundendaten zu verbessern„, vielleicht hat man ja diesmal ja mehr glück mit dem datenschutz bei „oneplus“. 🍀

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Nur keine beunruhigung! Die liste wäxt und wäxt und wäxt. 😦

Datenschleuder des tages

Warum eine komplette Arztpraxis offen im Netz stand

[…] rund 30.000 Patienten betroffen […] Server war ungeschützt, die Zugriffsrechte waren auf „Jeder“ gesetzt. Jeder, der die IP-Adresse kannte, konnte also darauf zugreifen […] alles, was in einer großen Arztpraxis an Daten aufläuft: neben den Stammdaten zehntausender Patienten auch Befunde, Gesprächsnotizen, Arztbriefe und vieles mehr

Auch weiterhin viel spaß beim festen glauben an den besonderen schutz eurer hochempfindlichen gesundheitsdaten, der euch mit größter feierlichkeit versprochen wird. Einmal freimachen bitte! Nackt ins internetz! Geil!

Übrigens lag es an einem…

[…] Digitalisierungsbox Premium […] Eine Shodan-Recherche im IP-Bereich der Telekom-Businesssparte deutete darauf hin, dass es noch weitere Fälle wie den der Celler Arztpraxis gibt. Wir informierten die Telekom über das Sicherheitsproblem der Digitalisierungsbox. Ein Sprecher des Unternehmens bestätigte es und erklärte, dass „diese Schwäche beim Port-Forwarding seit Mai 2019 bekannt“ sei

…bescheuert benannten zauberkästchen der deutschen telekomiker für so richtig professjonelle bissness-kunden, das ein klitzekleines fehlerchen hatte. Das ding wird bestimmt noch ein bisschen öfter eingesetzt, zum beispiel bei ihrem arzt, ihrer autowerkstatt oder ihrem mittelständischen arbeitgeber, und eine einfache sicherheitsaktualisierung löst das problemchen noch nicht.

Ich bin mir sicher, dass das in der bimbesrepublik bananistan keinerlei konsekwenzen für die deutschen telekomiker in ihrem früheren staatsunternehmen haben wird. Das problem war ihnen ja bekannt, das reicht doch. Tja, da kann man mal wieder nix machen. Dann bleiben eben alle auf ihrem schaden sitzen. Meine fresse! 🍌

Datenschleuder des tages

Die „gecko group“, ein anbieter von geschäftsreisen, hat mehr als ein terabyte kundendaten [!] ohne jeden zugriffsschutz im internetz abgelegt und somit ohne jede ironie im wort veröffentlicht. Das ist der stand des datenschutzes im jahr 2019. Digital first, bedauern second.

Auch weiterhin viel spaß beim festen glauben an den schutz eurer persönlichen daten, der euch überall versprochen wird. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Conrad hat rd. 14 milljonen kundendatensätze „veröffentlicht“. Aber keine sorge, denn:

Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig

Solche sprüche in so einer situazjon sind ganz ähnlich, als wenn man jemanden ins gesicht träte und hinterher sagte: „deine körperliche unversehrtheit und dein wohlbefinden sind jetzt echt irre wichtig für mich“. Das ist so eine verachtungsvolle, unhöfliche, kundenverspottende scheiße, dass ich mich jedes mal frage, was diese scheiß-PR-typen eigentlich von beruf sind. Und natürlich, was diese scheiß-jornalisten eigentlich von beruf sind, die so einen PR-kasper mit so einem arschlochspruch durchkommen lassen.

Auch weiterhin viel spaß beim festen glauben an den überall gern, leicht und angenehm konsekwenzenlos zugesagten schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt… 😦

„Klaut“ und datenschleuder des tages

Beim Hersteller des Sammelkartenspiels „Magic: The Gathering“ hat es einen großen Leak von Nutzerdaten der Onlineversion des Spiels (mit dem Zusatz „Arena“) gegeben: Die Entwicklerfirma Wizards of the Coast ließ ein Datenbank-Backup ungeschützt und frei zugänglich in der Cloud liegen

☁️🤦

Ich wünsche auch weiterhin viel spaß beim festen glauben an den schutz eurer persönlichen daten, der euch überall leicht und konsekwenzenlos zugesagt wird. Wenn da mal ein großlaster daten raussuppen, nix bei denken, sondern schön dankbar für die PResseerklärung sein, dass es sich ja nur um einen bedauerlichen einzelfall handelt. Die liste wäxt und wäxt und wäxt.

Und an die klaut müsst ihr natürlich glauben, dass die sicher, bekwem und zukunft ist. Der onkel werber sagt es euch, und sein hässlicher bruder jornalist sagt es euch, also muss es wohl stimmen.

Fefe ätzt auch schon… 😎

Datenschleuder des tages

ToonDoo hat sportliche rd. sex milljonen nutzerdatensätze veröffentlicht. Die frage, wieso man für die nutzung einer webseit zum comicklicken sein geschlecht und seinen wohnort angeben muss, kann ich leider auch nicht beantworten. Aber es gibt ganz sicher einen total guten grund dafür… 😦

Ich wünsche auch weiterhin viel freude beim festen glauben an den überall leicht und konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt. 📈

Datenschleuder des tages

Comodo, ein bekannter schlangenöl-hersteller, hat die daten von rd. 170.000 nutzern seines forums „veröffentlicht“, weil sie eine sicherheitsaktualisierung für die verwendete forensoftwäjhr nicht eingespielt haben. Na, aber hauptsache, die kennen sich mit der programmierung von „sicherheitssoftwähjr“ aus! 😧

Auch weiterhin viel spaß beim festen glauben an den überall preiswert und wohltönend versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.