Da-da-digitalisierung des tages

Ich musste für die KFZ Steuer meine Bankdaten ändern. Da dachte ich, dafür nutze ich zum ersten mal meine DE Mail bei der Telekom. Also habe ich eine DE-Mail an das zuständige Zollamt gesendet und darum gebeten, meine Kontodaten zu ändern. Genau für solche Zwecke ist die DE Mail mal ins Leben gerufen worden. Zuerst kam keine Reaktion. Als ich die Aktion schon fast vergessen habe, bekam ich eine Antwort auf meine DE-Mail. Darin stand, ich soll bitte auf den Seiten vom Zollamt das Formular für die Änderung der Bankverbindung suchen, herunterladen, ausfüllen und dann per Post ODER FAX dem Zollamt zusenden!

Häcker häcken

Heute: machen wir mal eine scheibe toast aus „uber“. 🍞️

Der US-Fahrdienstvermittler Uber ist angeblich gehackt worden, ein Sicherheitsforscher sagte der New York Times, das Unternehmen sei „komplett kompromittiert“. Der Unbekannte habe mit Screenshots belegt, Zugang zu vielen internen Systemen des US-Unternehmens, beispielsweise zu den E-Mails, zum Cloudspeicher und zu den Quellcode-Repositories zu haben. Angestellte seien angewiesen worden, interne Kommunikationskanäle zu meiden, teilweise sei Software auch gar nicht mehr zugänglich

Das war doch bestimmt ein elitärer elitehäcker, wenn nicht gar ein russe, oder? Aber nein doch:

Inzwischen hat sich laut New York Times ein 18-Jähriger gemeldet und zu der Tat bekannt. Uber habe mangelhafte Sicherheitsvorkehrungen getroffen, an Zugangsdaten sei er über Social Engineering gekommen

„Jugend forscht“ forscht immer forscher. 😁️

Schon schade, dass so eine klitsche wie „uber“, deren einziges geschäftsmodell eine digitale infrastruktur und ein haufen daten ist, mit der aufgabe überfordert war, für die unternehmensinterne kommunikazjon durchgehend digitale signaturen zu benutzen (das kostet kein geld und die dafür benötigte softwäjhr ist seit dreißig jahren fertig und frei), so dass jedes dahergelaufene häckkind sich mal eben als jemand anders ausgeben kann und dann auch noch einen vollzugriff bekommt, so dass die klitsche schließlich vor den rauchenden trümmern ihrer geschäftlichen infrastruktur steht. Ist schon scheiße, wenn man immer auf ditschitäll macht, aber niemanden hat, der sich damit auskennt. Ich hoffe, dass diese klitsche eine so innige beziehung mit dem insolvenzverwalter eingeht, dass sie sich davon nie wieder erholt! Nicht mal teilweise! Der menschheit zuliebe. Ich finde es schade, dass der forsche sicherheitsforscher nicht einfach stillschweigend eine vollständige löschung aller daten vorbereitet hat, die einfach unerwartet zuschlägt. Hach, ich hätte so gern gesungen:

🎶️ Yesterday
all those backups seems a waste of pay.
Now the database is gone away.
Oh, yesterday came suddenly. 🎶️🙂️

Und nicht nur ein gelungener häck ist gelungen, diese forsch forschende jugend in form eines achtzehnjährigen, der nicht die größte lebenserfahrung haben dürfte, weiß auch…

In einer intern bei Uber verschickten Nachricht habe er sich nicht nur zu dem Hack bekannt, sondern auch eine höhere Bezahlung für die Uber-Fahrer und -Fahrerinnen gefordert

…wo die wirklichen probleme im digitalfeudalismus des 21. jahrhunderts liegen. Was es bei „uber“ nicht gibt, sind mindestlohn, sozjalabgaben, krankenversicherung, urlaub oder krankengeld. Da gibt es leider nur die mänschesterkapitalistische kwasisklaverei des 19. jahrhunderts kombiniert mit der digitaltechnik des 21. jahrhunderts. Aber wenns internetz im händi ist, ists gehirn nun mal im arsch, und alle finden solche zustände geil. So schade, dass der monströse digitalfeudalismus mit all seiner ausbeutung, überwachung, gängelung, entrechtung und gutsherrenhaltung legal und beinahe überall auf der welt p’litisch gewünscht ist, und der kleine, harmlose häck wohl für ein paar jahre oder jahrzehnte im knast enden wird.

Ich wünsche auch weiterhin viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten! Ditschitäll first, bedauern second, hochdruck third. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics

Offen zugreifbar meint hier: nicht mal ein passwortschutz. Und irgendwelche häckertuhls hat man auch nicht gebraucht, wenn man an die daten kommen wollte. Für den zugriff reichte ein ganz gewöhnlicher webbrauser.

Aber keine sorge, diese xinai-klitsche aus der volxüberwachungsrepublik china hat auch an datenschutz gedacht:

Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt

Zumindest bei der reklame wurde daran gedacht. Ansonsten lag die datenbank in der klaut. Schade, dass lügen in der reklame nirgends auf der welt strafbar sind, obwohl ich sie kaum von einem richtigen betrug unterscheiden kann.

Auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Entrust [Archivversion, link führt auf ein englischsprachiges forum, ein paar hintergründe und einen magnet-link gibts bei tarnkappe]. Ohne weitere worte.

Auch weiterhin ganz viel spaß und orwellness beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen datenschutz, den nicht einmal irgendwelche klitschen hinkriegen, die gewerblichen kunden digitale sicherheit verkaufen. Die liste wäxt und wäxt und wäxt. Aber ihr habt ja alle nix zu verbergen.

Stell dir mal vor…

…die verkaufen dir für teuer teuer geld VPNs, die gar nicht funkzjonieren, obwohl sie genau wissen, dass die gar nicht funkzjonieren. Da kann man sich immerhin noch privatsfärengeschützt fühlen, da hat man ja schließlich für bezahlt… 😁️

Na ja, dass überhaupt jemand auf einem scheißwischofon ein VPN benutzt, ist eher so ein anzeichen von realitätsverlust. Diese geräte sind träcking- und abhörwanzen, sie sind genau als solche konzipiert und waren niemals etwas anderes. Und genau so sieht die gesamte kultur um diese scheißwischofone auch aus.

„Lass den kompjuter autofahren“ des tages

Dass das mit den von scheißwerbern und idjoten versprochenen „selbstfahrenden autos“ voller „künstlicher intelligenz“ nix wird, ist ja schon etwas länger klar. Das hält scheißwerber und idjoten leider nicht davon ab, den unausgereiften und — wegen der verwendung neuronaler netzwerke — nicht entfehlerbaren scheißdreck in die autos zu verbauen und so etwas als vorzug zu verkaufen. Zum beispiel für spurhalteassistenten auf der autobahn für jene leute, die betreutes fahren zu brauchen glauben. Und nicht einmal diese relativ einfache aufgabe — so eine autobahn zu fahren ist deutlich weniger komplex als etwa der stadtverkehr einer auch nur mittelgroßen stadt — kriegen sie hin:

Fiepser von Gerd Eist, @erdgeist@twitter.com vom 14. august 2022, 19:54 uhr: Datenpunkt Stand der Technik im Auto: Spurassistent erkennt in der Lücke des Schattens eine Fahrbahnmarkierung und drückt mich konstant nach rechts 🤦 -- dazu ein angehängtes foto eines schattenwurfes der rechten leitplanke auf die fahrbahn.

Heute ist übrigens der todestag von Bridget Driscoll, dem ersten bedauerlichen menschenopfer der totalen automobilmachung.

Leute, wenn ihr mit etwas „selbstfahrendem“ durch die lande fahren wollt, damit ihr besser bei der fahrt finster-gram mit euren selfies fluten könnt, dann setzt euch doch einfach in die eisenbahn! Das funkzjoniert, ist schnell, sicher und stressfrei. Nur bezahlbar ist es leider nicht, aber das ist p’litischer wille.

via Fefe

Security des tages

„Bei den banken geht es um geld, die sind wohl etwas sorgfältiger und erschweren das abgreifen von daten“, denkt mitmensch gläubig. Nein, die sparda-bank baden-württemberg für ihre „SpardaSecureApp“ einfach eine neue domäjhn aufgemacht und mitten in der benutzung ablaufen lassen:

Bis Mitte Mai 2022 war im QR-Code eine URL mit den zur Freischaltung benötigten Daten als URL-Parameter hinterlegt. Die Domain (secure-app.de) befand sich Ende April (25.04.2022) allerdings am letzten Tag der Redemption Grace Period (RGP) und damit nicht (mehr) im Besitz einer Sparda-Bank oder deren IT-Dienstleister.

Ich konnte die Domain secure-app.de am Folgetag selbst registrieren und erhielt so von durchschnittlich über 140 Personen am Tag den zweiten Faktor einer Online-Überweisung auf dem Silbertablett serviert. Über eine gezielte Phishing-Seite hätten theoretisch auch noch die Zugangsdaten zum Online-Banking abgegriffen werden können.

Selbstverständlich kontaktierte ich die Sparda-Bank BW vor der Registrierung mehrfach. Allerdings verwies der telefonische Kundensupport nur darauf, dass der QR-Code mit der SpardaSecureApp gescannt werden muss […] Leider hat der Pressesprecher der Sparda-Bank BW auf meine mehrmaligen Anfragen bisher nicht reagiert

Ditschitäll first, bedauern second… und wenns dann mal so richtig schiefläuft, hochdruck third.

Kurz verlinkt

Die PResseerklärung des CCC ist einfach nur lecker:

Chaos Computer Club hackt Video-Ident

Während sich alle Welt vor ausgefeilten Deep Fakes fürchtet, gelang hier der Angriff mit Uralt-Technik und einfachen Mitteln […] Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an

Fefe präsentiert

Eine führung der BRD-innenministerin durch das BRD-cyber-cyber-abwehrzentrum. Bitte vor dem klicken alle getränke aus der mundhöhle entfernen und den extrastarken schutz vor gesichtsbeklatschungen anlegen! Wichtige permanente kwellen der unermüdlichen arbeit an der cyberfront der BRD scheinen das zwitscherchen (immerhin über tweetdeck benutzt) und die tagesschau zu sein. Nur für den völlig unwahrscheinlichen fall, dass diesem fotografischen zeitdokument auf den webseits der bundesregierung demnächst etwas zustoßen sollte, hier eine dezentrale sicherheitskopie des einblicks in den topf… ähm… toppmodernen arbeitsplatz der spitzencyberkämpfer der BRD.

Au mann, und ich dachte immer, die propagandafotos von Putin und Kim Jong Un seien lächerlich! 🤦‍♂️️

Digitalisierung des tages

Tschirsich hat sich nach eigenen Angaben mehrere digitale Führerscheine unter verschiedenen Namen generiert, dazu noch eine ID-Karte, laut der er die Schweizer Staatsbürgerschaft besitzt. Problemlos möglich war das, weil Verimi auf ein Foto-Ident-Verfahren setzt. Nutzerinnen und Nutzer müssen nur die Vorder- und die Rückseite ihres Führerscheins fotografieren und dazu ein Selfie machen, um zu belegen, dass sie selbst die Person auf dem Dokument sind. Überprüft wird das nach Angaben von Verimi in einem »KI-gestützten Prozess«, also offenbar ohne menschliche Prüfer. Ein Abgleich mit einem Führerscheinregister findet offensichtlich auch nicht statt

[Archivversjon]

So einen einfachen häck hat man aber auch schon lange nicht mehr gesehen. Ein weiteres, tolles BRD-leuchtturmprojekt für lichtallergiker!

„Cyber cyber“ des tages

Bitte jetzt die getränke aus dem mund entfernen, sonst gibt es sauerei!

Offenbar hat jemand die informazjons- und reklametafeln der wuppertaler schwebebahn gecybert [archivversjon]:

Auf Infotafeln der Schwebebahn-Station Wuppertal-Oberbarmen wurden am Sonntag pornografische Darstellungen angezeigt

Huch! Statt hirnfickreklame gibt es mal so richtiges ficken, mit pimmeln und mösen und so. Da muss man aber ganz schnell etwas gegen unternehmen. Zum glück hat ein beherzter cyberabwehrspezjalist eine rettende idee gehabt:

Mitarbeiter der Stadtwerke verhüllten den Bildschirm

Bwahahahaha!

Ich habe kurz einen bekannten aus wuppertal gefragt, woran das wohl liegen könnte, wenn es nicht die fiesen russischen cyberkrieger waren (die hätten nicht so etwas harmloses gemacht). Er sagt, dass das so ein grabbelbildschirm ist, auf dem jedermann und allefruhn mit einer wischgeste (nein, keine wixgeste) die bildschirmtastatur aufrufen kann, um anschließend beliebige programme zu starten. Zum beispiel einen webbrauser. In dem man zum beispiel eine der bekannten seiten aufrufen kann, um dann das video auf vollbild zu stellen und in schleife wiederholt abspielen zu lassen. Schade eigentlich, dass keine lautsprecher dran sind, die porno-dialoge sind doch immer so gut…

Wenn das stimmen sollte, wüsste ich aber gern mal vom WSW, welcher dienstleister ihnen diese dinger für teuer geld hingestellt hat. Nur, damit ich in zukunft allen menschen von diesem dienstleister abraten kann. Cyber cyber!

S/M des tages

Das fratzenbuch schaltet reklame für völkermordaufrufe.

Facebook genehmigte in Kenia Werbung für ethnische Säuberungen […] insgesamt zehn reale Beispiele von Hassrede ausgewählt, die seit 2007 in Kenia kursieren. Facebook habe die sehr expliziten, problematischen Anzeigen nur in der englischen Version beanstandet, allerdings wegen sprachlicher, nicht wegen inhaltlicher Mängel. Nach den geforderten Korrekturen seien diese ebenso freigeschaltet worden wie die entsprechenden Anzeigen in Swahili (das in dem Land ebenso wie Englisch als Amtssprache verwendet wird)

Tja, ist schon scheiße mit den webseits börsennotierter unternehmen ohne seriöses geschäftsmodell jenseits der vergällung menschlicher kommunikazjon mit reklame wie etwa dem fratzenbuch. Die schalten dann halt jede reklame, ist ja das einzige geschäft. Und gleichzeitig löschen die gleichen unternehmen ratzefummel den ganzen „häjhtspietsch“ weg. Aber nur den, der nicht aus presse und p’litik kommt…

Kryptogeld des tages

Das ist schon lustig, wenn ein angreifer die kryptogeldplattform besser verstanden hat als ihre betreiber und sie kreativ nutzt, oder übersehe ich hier irgendwas, was vielleicht doch eine straftat sein könnte?

Na ja, ich bin ja auch nicht der ehemalige fachverlag:

Nirvana Finance ist […] beraubt worden

Echt jetzt? So ein richtiger raub mit gewaltanwendung oder gewaltdrohung? Heise, du stinkst. Da wurde nicht einmal im klassischen sinn gehäckt oder gephisht. Ist auch bei euch da hinten in der karl-wiechert-allee das gehirnchen vor gier am kochen, wenn irgendwas mit den tulpen des digitalzeitalters kommt?

Heise: Ehemaliger Fachverlag

Wer ein wort wie stablecoin schreiben kann, ohne geradezu reflexhaft eine derbe oder hochsarkastische anmerkung zu solchen bullschittwörtern zu machen, ist eh eine sackgasse der intelligenzentwicklung.

Laut Zahlen von Defilama belaufen sich die Einlagen in Nirvana Finance damit noch auf vier US-Cent.

Huj, das klingt mal nach einer realistischen digitaltulpenbewertung! Die selbstbezeichnung „nirvana“ hat ja schon vorweggeschattet, wo das geld hingehen wird. 😂️

Alarm des tages

Jetzt wird das BRD-stromnetz nicht nur von „den russen“ entgast, sondern auch noch von den russen gecybert [archivversjon]. Habt angst, habt angst und hasst die russen — obwohl es ausnahmsweise mal ein bisschen sorgfalt bei der absicherung gegeben zu haben scheint:

Die EnBW-Strom- und Gasnetzsteuerung war zu keinem Zeitpunkt betroffen, da diese in einem getrennten, extra gesicherten Netz geführt wird

Und, wie haben die cyber-cyber-häcker es geschafft, etwas zu cybern? Waren das hochgeniale häcker, die aktuelle sicherheitslücken ausgenutzt haben? Mitnichten…

So hatten die Hacker es zum Beispiel auch auf den Stromkonzern e.on abgesehen. Dazu hatten sie ein 35-seitiges Dokument vorbereitet, das dem Anschein nach wie ein internes Dokument eines Beratungsunternehmens aussieht […] Sobald ein Nutzer das Dokument öffnet, wird unbemerkt versucht, dessen Anmeldedaten an einen Server zu schicken, den die Hacker kontrollieren. Damit könnten sich die Hacker bei anderen Diensten anmelden, die dieser Nutzer verwendet, zum Beispiel im E-Mail-Postfach. IT-Sicherheitsexperten sprechen von Spearphishing

…sie wollten einfach nur mäjhls versenden. Mit offißß-dokumenten, die makros enthielten. Und mit gefälschtem absender, natürlich. Denn man kann in eine mäjhl jeden absender eintragen, genau so, wie man auf einen briefumschlag auch jeden absender draufschreiben kann, ohne dass das ein problem für den transport des briefes wäre. Und natürlich können sich die häcker darauf verlassen, dass niemand in der BRD versteht, was eine digitale signatur ist und wie und warum man sie verwendet, nicht einmal die voll investigativen jornalismusbeamten der tagesschau des BRD-parteienstaatsfunks ARD — cyber cyber! Und was intrusion detection ist…

Neben Phishing-Angriffen hackten die Hacker von „Berserk Bear“ auch strategisch relevante Webseiten und bauten diese kaum merklich um, um vertrauliche Informationen abzugreifen, vor allem Anmeldedaten […] Das Kalkül der Hacker: Viele Webseiten-Besucher dieser spezialisierten Firmen dürften im Bereich Kritische Infrastrukturen aktiv und somit interessante Spionageziele sein. Beiden Firmen war offenbar nicht bewusst, dass ihre Seiten gehackt worden war

…weiß natürlich auch keiner. Cyber cyber!

Bei so viel dummheit, unfähigkeit und blauäugigkeit bin ich ja echt gespannt, was los ist, wenn die es mal ernst meinen mit dem cyber-cyber-krieg…

Security des tages

Ähm, benutzt hier jemand linux mit samba, um seinen windohs-domäjhncontrohller mit dem „sichereren“ linux laufen zu lassen?

Sicherheitsupdates Samba:
Angreifer könnten Admin-Passwörter ändern

[…] Angreifer könnten an dieser Stelle Anfragen mit einem eigenen Schlüssel verschlüsseln, die akzeptiert werden. Darüber soll es möglich sein, die Passwörter von anderen Nutzern zu ändern. Geschieht dies bei einem Admin-Account, könnte dies zu einer vollständigen Domänenübernahme führen

Dann aber ganz schnell die aktualisierungen installieren! Oh, debian hat sie noch gar nicht im stable-zweig, da gibt es zurzeit nur 4.13.13? Na, dann viel glück! Muss man ja auch manchmal haben… ☹️

Datenschleuder des tages

Twitter hat wegen eines fehlerhaften dieseins der schnittstelle zu seiner händi-äpp die daten von rd. 5,5 milljonen zwitscherchen-nutzern veröffentlicht, immer schön nutzername, klarname, mäjhladresse und telefonnummer. Ist doch schön, wenn mal jemand anruft!

Nein, es ist nicht in ordnung, wenn ein sörver über ein API daten rausgibt, die nicht öffentlich sein sollen und die „sicherheit“ dann an eine äpp delegiert, sondern es ist ein sehr schwerer dieseinfehler und kommt einer veröffentlichung gleich. Leider weiß das im ehemaligen fachverlag „heise“ keiner mehr.

Auch weiterhin viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer daten! Und immer schön überall die telefonnummer angeben, wisst schon, ist alles zur verbesserung eurer sicherheit!!1! Die scheißliste wäxt und wäxt und wäxt.