Nutzt hier jemand posteo?

Mir ist das nur ein einziges mal berichtet worden. Meine anmerkungen dazu deshalb als gerücht behandeln.

Jemand hat eine mäjhladresse bei posteo. (Nein, ich werde die identität weder preisgeben noch andeuten.) Da er noch ein paar mäjhladressen mehr hat, sich aber nicht immer bei allen möglichen mäjhlkonten einloggen will, um seine mäjhl zu lesen, nutzt er den bekwemen, von posteo angebotenen „sammeldienst“. Dieser meldet sich in regelmäßigen abständen bei anderen postfächern mit den bei posteo hinterlegten zugangsdaten für diese anderen konten an, schaut nach, ob dort neue mäjhl angekommen ist, holt diese ab und sortiert sie in das lokale posteo-postfach ein.

Dieser jemand hat am dienstag, den 8. juni, eine mäjhl von posteo erhalten, dass der „sammeldienst“ deaktiviert wurde, weil posteo sich wiederholt nicht einloggen konnte.

Daraufhin hat er sich die konfigurazjon des sammeldienstes angeschaut und festgestellt, dass das login-passwort für das externe mäjhlkonto falsch war. Es handelte sich nicht um das passwort für das abzurufende konto, sondern um das klartext-passwort für das posteo-konto.

Davor hat dieser „sammeldienst“ über einen langen zeitraum ohne derartige probleme funktioniert.

Tatü! Tata! 🚨️

Ich kann mir nur einen einzigen möglichen grund für so einen „fehler“ vorstellen:

  1. Posteo sollte seine nutzerpasswörter nur in gehäschter form speichern, nicht im klartext. Das ist elementare security-praxis.
  2. Das BRD-gesetz zur bestandsdatenauskunft verpflichtet mäjhlproweider, klartext-passwörter an BRD-polizeien und BRD-geheimdienste rauszugeben.
  3. Da posteo diese passwörter nicht hatte, hat sich posteo drangesetzt, die angegebenen passwörter nach einer erfolgreichen anmeldung zu speichern.
  4. Als dieses anti-sicherheits-funkzjonsmerkmal — vermutlich mit etwas zu heißer nadel, weil die staatsanvergewaltschaft vor der tür stand und bußgelder für verzögerungen androhte — gestrickt wurde, hat der progger, der damit gestraft war, die datenbank nicht vollständig verstanden und sein UPDATE user_accounts SET password=%klartext_passwort% WHERE user_id=%id% eingefügt¹, der dann wegen eines nicht ganz koscheren datenbankdeseins mehr veränderte, als der programmierer eigentlich verändern wollte. Und so kam es zu dem fehler.
  5. (Ich kann natürlich nicht ausschließen, dass ein programmierer so einen fehler vorsätzlich macht, weil er anstand hat und will, dass die sache bemerkt wird. In diesem fall: danke! Du bist ein ehrenmann! Und frauen sind dabei mitgemeint. Ist grammatik.)

Mein schluss: mäjhlproweider aus der BRD sind allesamt nicht mehr vertrauenswürdig und geben nicht nur metadaten, sondern auch zugangsdaten an BRD-polizeien und BRD-geheimdienste weiter, ohne ihre nutzer darüber zu informieren. Posteo tut dies wohl seit dienstag, dem 8. juni 2021.

Diese kooperazjon ist mit einer klartext-speicherung von passwörtern in den datenbanken der mäjhlproweider verbunden. Oder anders gesagt: mit einem rückbau vernünftiger und bewährter grundlagen der kompjutersicherheit, die aus guten gründen seit den 1970er jahren standard sind.

Oder noch einmal anders gesagt: die gegenwärtige CSPDU-regierung unter Angela „bleierne raute“ Merkel zerstört mit ihren (technisch extrem inkompetenten) überwachungsgesetzen die grundlagen vertrauenswürdiger und sicherer informazjonstechnik und nötigt informazjonstechnischen unternehmen in der BRD eine reduzierung ihrer sicherheitsvorkehrungen auf. Den schaden davon haben nicht verbrecher, sondern alle menschen, die mäjhl für ihre private und geschäftliche kommunikazjon nutzen und im falle eines datenlecks (zum beispiel auch durch einen korrupten mitarbeiter bei posteo, der für eine handvoll geld ein paar daten rausträgt) völlig bloßgestellt werden.

Dass eine herausgabe von passwörtern beliebiges fälschen von kommunikazjon durch BRD-polizeien und BRD-geheimdienste ermöglicht und dass diese kommunikazjon anhand der logdateien nicht von kommunikazjonsakten des regulären nutzers unterschieden werden kann, sei nur nebenbei erwähnt. Wegen gefälschter beweise unschuldig im knast zu sitzen, ist ziemlich scheiße. Dieses möglichkeit wird den BRD-polizeien und BRD-geheimdiensten von unserer CSPDU-bummsregierung in die hände gedrückt. Klar, werter herr polizeibeamter, sie würden so etwas niemals tun. Aber selbst sie kennen den einen oder anderen kollegen, dem sie so etwas zutrauen, oder?! Man kann ja gar nicht dabei erwischt werden…

(Mir sind mehrere menschen mit BTM-vorstrafen persönlich bekannt, bei denen die beschlagnahmte kokainmenge viel größer war als die kokainmenge, die schließlich in der anklageschrift angegeben wurde. Natürlich hat da keiner vor gericht gesagt, dass er in wirklichkeit viel mehr hatte. Und wenn man als polizeibeamter nicht erwischt werden kann, dann hat das eben ein gewisses verführungspotenzjal.)

Ich kann nur noch davon abraten, einen mäjhlproweider aus der BRD zu nutzen.

Ach ja, und eines noch: diese „kleinigkeit“ ist nur aufgefallen, weil für jedes benutzerkonto andere passwörter benutzt wurden. Wer überall das gleiche passwort nutzt, kann diesen effekt gar nicht bemerken.

Natürlich sind tabellen- und spaltennamen hier nur geraten. Ich kenne das bei posteo verwendete datenbankschema und die dort verwendeten namenskonwenzjonen nicht. Aber im groben werden die tabellen so heißen.

Datenschleuder des tages

Suprema, eine klitsche, die biometrische zugangskontrollen anbietet, hat einen riesenhaufen daten veröffentlicht, immer schön anwendername, das im klartext gespeicherte passwort [❗], fingerabdrücke und daten für die gesichtserkennung [archivversjon].

Wie, veröffentlicht? Die wurden doch gehäckt, oder? Von pösen pösen cyber-cyber-verbrechern (am besten aus russland, mit Putin als anführer), oder? Mitnichten:

Man braucht dazu keine speziellen Hacking-Tools, sondern nur einen Browser

Tja, ein passwort hätte man nach so einer veröffentlichung durch eine völlig inkompetente scheißklitsche ja ändern können. Aber was macht man jetzt mit seinen fingern oder seinem gesicht? Endlich können für kriminelle akzjonen auch biometrische merkmale missbraucht werden! Ich konnte es schon gar nicht mehr länger erwarten… :mrgreen:

Plakat: Früher hätte ich nach einem Datenleck oder wenn ich Schadsoftware auf meinem Computer oder Telefon gehabt hätte, ja einfach mein Passwort geändert. Aber wie soll ich meinen Fingerabdruck ändern, wenn ihn jemand vom Computer oder Telefon mitgenommen hat? -- Wenn man sich solche Fragen stellen muss, wird man spätestens merken, dass biometrische Verfahren zur Identifikation im Internet keine gute Idee sind. Wer schlau ist, merkt es schon vorher.

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall leichtherzig und völlig konsekwenzenlos zugesagten schutz eurer persönlichen daten — und der immer wieder gern als ergänzung gegebenen zusage, dass der datenschutz an oberster stelle steht, aber ganz ganz oben. Gesaltetes häsching von passwörtern für die speicherung in einer datenbank ist eine sicherheitstechnik aus den frühen siebziger jahren, zu der diese sicherlich hochhippe und in ihrer stinkenden, verlogenen scheißreklame ständig von sicherheit faselnde scheißklitsche namens „suprema“ offensichtlich nicht imstande war. Über den rest der extrakompetenten spezjalkompetenz in dieser klitsche spare ich mir irgendwelche justizjablen vermutungen, aber ich denke mal, dass da auch jeder selbst drauf kommt. Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Die betreiber der ändräut-äpp „WIFI finder“ haben mal eben die zugangsdaten zu zwei milljonen WLANs veröffentlicht, jeweils SSID, passwort und koordinaten des zugangs. Es handelte sich wirklich um eine veröffentlichung. Die datenbank lag ohne passwortschutz im internet. Da brauchte man weder vertiefte kenntnisse noch musste man irgendeinen häck machen.

Ich wünsche euch allen auch weiterhin ganz viel spaß beim festen glauben an den euch überall versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.

Fratzenbuch des tages

Facebook hat eingeräumt, dass das kürzlich bekannt gewordene Datenleck größer ist, als angenommen. Statt Zehntausende sind „Millionen“ Passwörter von Instagram-Nutzern intern unverschlüsselt gespeichert worden

[Archivversjon gegen das p’litisch gewollte vergessen im internetz]

Müsst ihr verstehen, leute: das fratzenbuch ist mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren — nämlich der speicherung von passwörtern als gesaltete häschwerte — überfordert. Dabei muss man das nicht einmal selbst proggen, dafür gibt es guten bibliotekskohd für jede halbwegs ernstzunehmende programmiersprache.

Meikrosoft des tages

Na, hat sich hier schon jemand dieses offißß 365 von meikrosoft andrehen lassen, weil eine terminal-anwendung nach ideen aus den großrechner-architekturen der sechziger jahre ja viel moderner und hipper ist und die klaut sowieso viel besser ist als der eigene massenspeicher und der eigene kompjuter?

Eines der verblüffendsten Ergebnisse ist, dass Office 365 beim ersten Anmelden das Kennwort des Nutzers im Klartext und nicht als Salted Hash übermittelt

Meine fresse! Oh, wie kriege ich diese hand wieder aus dem gesicht‽

Klar, das passwort wird über TLS übertragen, also mit transportverschlüsselung (wie bei HTTPS). Aber in einer unternehmung sitzt normalerweise mindestens ein proxy zwischen firmennetz und internetz. Und der macht viel mehr, als einfach nur proxy zu sein, zwischenzuspeichern und zugriffe zu beschleunigen. Oft macht er zum beispiel auch HTTPS unter verwendung eines eigenen zertifikates auf (zum beispiel für virenskänns und anderes schlangenöl), und dann wird halt auf den firmenrechnern ein weiteres TLS-zertifikat installiert, damit das ruckelfrei geht. Der privatschlüssel, den man braucht, um mit jedem irgendwo reingehängten einplatinenrechner die verschlüsselte übertragung mitlesen zu können, liegt dann auf dem proxy. Und dann gibt es natürlich auch noch lokale antivirus-schlangenöle, die genau die gleiche nummer machen und wo es eher ein noch kleinerer akt wird, die damit von sicherheitssoftwäjhr aufgerissene sicherheitslücke auszunutzen. Das ist eher so eine fingerübung für ein ehrgeiziges kind. TLS ist im arsch. Wir haben nur leider zurzeit nix besseres.

Mit einer sicherheitstechnik aus den frühen siebziger jahren, nämlich dem gesalteten häsching eines passwortes für die speicherung und die übertragung über einen möglicherweise unsicheren kanal, ist man bei meikrosoft aber leider überfordert.

Bedeutet das etwa, dass meikrosoft gar nix mehr hinkriegt? Aber nein doch. Es bedeutet nur, dass meikrosoft auch schon die elementarste kompjutersicherheit scheißegal ist. An anderen stellen zeigt sich meikrosoft hingegen sehr ambizjoniert, und…

Ebenso überrascht, dass Office 365 noch vor der Zustimmung zur zugehörigen Einverständniserklärung Telemetriedaten an Microsoft sendet

…die permanente heimliche überwachung des anwenders an seinem datensichtgerät funkzjoniert natürlich ganz hervorragend. Müsst ihr verstehen! Daten sind das öl des 21. jahrhunderts (A. Merkel). Das muss man aus den menschen rausfördern! Mit allen mitteln. Zur not mit dem äkwivalent zum fräcking. Da kann man sich doch nicht auch noch an gesetze halten, bei dem ganzen schönen öl und dem ganzen schönen reichtum durch datensammlungen. Oder sich gar um so einen unwichtigen scheißkram wie passwortsicherheit kümmern, wenn man eigentlich nur überwachungsfunkzjonen haben will und den menschen künstliche abhängigkeiten ins leben drücken will, damit sie niemals niemals niemals wieder frei werden…

Fratzenbuch des tages

Gut festhalten, denn die welt scheint endlich reif für derartig tolle ideen des fratzenbuches zu sein:

„Um Facebook zu nutzen, musst du deine E-Mail-Adresse bestätigen. Da du dich mit [E-Mail-Adresse] registriert hast, kannst du dies automatisch tun“, hieß es laut The Daily Beast in einem Facebook-Fenster. Darunter sei der Nutzer zur Eingabe seines E-Mail-Passwortes aufgefordert worden

Zeit, mal wieder zu überprüfen, ob das passwort auch sicher genug ist. :mrgreen:

„Internetz der dinge“ des tages

Dieses internetz der dinge ist wirklich toll, man kann alles aus der ferne machen und muss gar nicht mehr aus seinem sessel aufstehen. Jetzt müsste nur noch jemand an elementare sicherheitsmaßnahmen denken, wie etwa, das unmittelbar nach inbetriebnahme ein neues passwort erzwungen wird. Oh, viel zu schwierig? Na gut, dann wird eben gepwnt:

Mit einem Default-Benutzernamen in Kombination mit dem Standardpasswort 1234 können Angreifer via Webbrowser auf weltweit Tausende von Kühlsystemen des taiwanesischen Herstellers Resource Data Management (RDM) zugreifen

Eins, zwei, drei und vier; und dein kühlschrank gehorcht jetzt mir… :mrgreen:

Aber äppel ist doch sicher…

Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext […] Der Zugriff auf die Kennwörter sei selbst durch unsignierte Apps möglich und benötige weder Admin- noch Root-Rechte

Offenheit des tages

Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators

Heise! Wo ist das ein häck, wenn man ein völlig offen im internetz herumliegendes passwort verwendet? Das ist nix weiter als das nutzen frei verfügbarer informazjonen, das eintreten durch eine tür, die für besucher weit geöffnet war.

Aber hej, immerhin hat DailyMotion kräftig strafe dafür latzen müssen, dass sie nach dieser im internetze ausgesprochenen einladung mal eben 87 milljonen nutzerdatensätze (mit gehäschten und gesalzenen passwörtern) mit mäjhladressen veröffentlicht haben. Fünfzigtausend øre!!!1! Das ist bestimmt fast schon ein prozent der portokasse!!!!1! Das entspricht sex hundertstel ørecent pro veröffentlichter mäjhladresse. So viel ist die privatsfäre und spämmfreiheit von menschen zurzeit in scheißeuropa wert!

Alte und neue erpressungsmasche

Alte erpressungsmasche: ich habe deinen kompjuter gekräckt, weiß alles über dich, kenne alle deine freunde und habe dich beim wixen mit deiner kamera gefilmt. Gib bitcoin, oder ich leite das filmchen an alle deine freunde weiter.

Neue erpressungsmasche: genau das gleiche, aber jetzt steht auch noch ein richtiges passwort in der erpressermäjhl. [Link geht auf englischsprachige webseit]

Tja, so läuft es eben in einer welt voller verantwortungsloser datenschleuderei. Bitte nicht darauf reinfallen und auf gar keinen fall dem erpresser geld geben! Nichts an seiner geschichte stimmt. Und für die rd. dreitausend dollar gibt es wirklich bessere verwendungen, als einem schmierigen kriminellen das kokain und die puffbesuche zu finanzieren.

Nachtrag: Deutschsprachige meldung bei heise onlein.

„Cloud“ des tages

Hej, was nimmt man mal als standardpasswort für eine kamera, die sich eltern in die wohnung stellen, um ihre kinder zu überwachen, wenn sie es mal nicht direkt können? Ach, da nimmt man einfach 123, und dann baut man da extra noch eine spezjalschnittstelle ein, dass ein angreifer auch gleich das ganze LAN übernehmen kann.

Auch weiterhin ganz viel spaß mit dem ganzen techniktinnef mit internet!

S/M des tages

Das zwitscherchen hat… ähm… „aus versehen“ passwörter im klartext gespeichert. Die ausrede mit den logdateien wirkt aber auf mich plausibel. Allerdings würde man genau so einen weg wählen, um die datenbank mit den nutzerdaten als hinreichend gesichert ausgeben zu können, und doch zugangsdaten raustropfen zu lassen, zum beispiel für eine der diversen mörderischen und alles überwachenden und manipulierenden US-geheimmilitärpolizeien. So lange ein unternehmen irgendetwas in den USA hat, ist es nicht wirklich vertrauenswürdig. (Das gilt insbesondere auch für „cloud“-klitschen.) Die dürfen nicht einmal mitteilen, dass sie zur kooperazjon gezwungen werden. Einen objektiven grund, warum man HTTP-GET verwenden sollte, so dass das passwort als bestandteil der URI in der logdatei des websörvers landet, wenn man genau das (bei verwendung üblicher biblioteken ohne zusätzlichen aufwand) mit HTTP-POST vermeiden kann, sehe ich jedenfalls nicht. Oder wurde etwa eigens für die speicherung der passwörter noch eine weitere logdatei angelegt? Dann ist es so gut wie sicher, dass die ausleitung der zugangsdaten beabsichtigt war.

Security des tages

„T-mobile“ ist im jahre 2018 mit der implementazjon einer sicherheitstechnik aus den frühen siebziger jahren, nämlich der speicherung von passwörtern als (im idealfall gesalzene) häsches, überfordert. Und irgendwelche brechreizerregenden PR-komiker in der S/M-front begründen auch, warum:

What if this doesn’t happen because our security is amazingly good?

Da kann man nur entgegen: klitschen, die sich dermaßen selbst überschätzen, würden es vermutlich nicht einmal bemerken, wenn sie von kindern oder kriminellen gekräckt werden und alle daten rausgetragen werden. Das bemerken dann „nur“ ein paar davon betroffene kunden… 😦

Und in der tat:

An mehreren Stellen fanden sich Cross-Site-Scripting-Lücken auf den Webseiten. Außerdem wird die Haupt-Webseite offenbar mit uralter Software betrieben […] Wie der Autor dieses Texts herausfand, ließ sich bei mehreren Blogs des Unternehmens unter den Subdomains blog.t-mobile.at, kids.t-mobile.at und newsroom.t-mobile.at ein Git-Repository herunterladen […] Wenn man eine Webseite direkt mit dem Quellcode-Verwaltungstool Git ausliefert, lässt sich das entsprechende Verzeichnis mit den Git-Daten oft öffentlich abrufen […] Im Repository unter blogs.t-mobile.at fand sich eine WordPress-Kopie samt Konfigurationsdatei. In der Konfigurationsdatei wiederum konnte man Zugangsdaten zur MySQL-Datenbank auslesen. Eine öffentlich zugängliche Installation des MySQL-Verwaltungstools phpMyAdmin lies sich ebenfalls leicht finden

Es wird wohl gar nicht so schwierig werden, diesen vor dreister dummheit strotzenden vollidjoten-laden mit seiner „erstaunlich guten security“ zu kräcken. :mrgreen:

Auch weiterhin viel spaß dabei, solchen auf elementarsten datenschutz scheißenden und ihre kunden mit verlogenen PR-geschwafel zur datensicherheit verachtenden klitschen irgendwelche daten anzuvertrauen! Verträge kann man übrigens kündigen, und auf die löschung der daten sollte man bestehen (man hat ein recht darauf), denn von alleine werden die ihren „rohstoff des 21. jahrhunderts“ gewiss nicht löschen.

Macht hier jemand seine mäjhl mit einem ändräut-wischofon?

Mail-Apps:
Zahlreiche Android-Apps übermitteln Login-Passwort

Natürlich nicht nur an den mäjhlsörver, sondern auch an den hersteller der äpp. Ihr wart ganz heiß auf trojanische äpps und konntet gar nicht genug davon kriegen, und jetzt habt ihr halt kriminelle trojanerfunkzjonen in jeder verdammten äpp auf euren scheißwischofonen. Geliefert wie bestellt!

Datenschleuder des tages

Bei „onelogin“, einem „cloud“-basierten passwortmanätscher für „cloud“-dienste, hat die „cloud“ ein paar daten abgeregnet.

Onelogin wird von mehr als 2000 Unternehmen genutzt, um Nutzern einen vereinfachten Zugriff auf Webseiten und Webapplikationen zu bieten. Unter den kompatiblen Diensten finden sich die Amazon Web Services, Microsoft Office 365, Linkedin, Slack, Twitter und Google-Dienste

Ich bitte um beachtung für die kleine tatsache, dass in dem golem-artikel [hier sicherheitshalber eine dauerhafte archivversjon] das reklameblendwort „cloud“ mit geradezu schreiender sorgfalt vermieden wird, obwohl es sonst niemals fehlen darf, wenn verdeckte reklame für die saudumme idee gemacht wird, dass man seine daten auf den kompjutern anderer leute speichern soll. Tja, wäre halt scheiße, wenn den deppen allzudeutlich auffiele, dass es sich um ein völlig unnützes risiko handelt. In diesem sinne: seit weiterhin gut manipul… ähm… informiert durch „jornalistische“ medien!

Auch weiterhin wünsche ich allen menschen viel spaß beim festen glauben an den überall völlig folgenlos versprochenen, feierlich zugesagten und mit heiligem datenschleuder-ehrenwort garantierten „datenschutz“. Die liste wäxt und wäxt und wäxt.