„Cyber cyber“ des tages

Wie fährt man einen angriff gegen päjpäll, ama-zone, äppel, meikrosoft, schoppifeist oder ubel? An sich war das ganz einfach: Wenn man wusste oder erraten konnte, wie die verwendeten biblioteken heißen, legte man einfach in den üblichen bibliotekslagerstätten im internetz gleichnamige, aber mit höherer versjonsnummer an, und schon werden die in der den lokalen entwicklungsumgebungen vorgezogen — und man konnte dort beliebigen kohd ausführen lassen. Weia!

Auch weiterhin viel spaß mit dem aufgeblähten blähkohd des 21. jahrhunderts mit seinen paarhundert abhängigkeiten zu externem kohd! Egal, ob maven, pip oder npm, die damit hereingeholte komplexität kann ein echtes security-problem werden. Und nein, cpan ist auch nicht besser. Gruß auch an die ganzen javascript-entwickler, die lieber ein ganzes paket aus einer nicht kontrollierten kwelle (mit möglicherweise zunächst halb unsichtbaren, aber monströsen abhängigkeiten, die dann für jahrzehnte im projekt bleiben, weil niemand laufenden kohd anfassen will) dazuladen, bevor sie eine eigene zeile kohd schreiben. Ja, es geht gar nicht so selten nur um eine einzige verdammte zeile, die nicht einmal schwierig zu tippen wäre…

Ich bin zu erwaxen für diese scheiße!

Nutzt hier jemand paypal?

Da wird offenbar mal wieder einfach so geld abgebucht. Also guckt besser mal nach… und ärgert euch nicht, dass ihr nach dem login-versuch erstmal mit einem dieser fürchterlichen guhgell-CAPTCHAs verachtet werdet, mit dem ihr „nachweisen“ sollt, dass ihr kein roboter seid, die scheinen gerade auch ein bisschen sörverlast bei paypal zu haben.

Zur sicherheit im internetzbezahlverkehr

Guhgell und paypal hatten da ja so ein kleines problemchen mit ihrem neuen bezahldingens. Inzwischen scheint sich aufgeklärt zu haben, wie es dazu kommen konnte, dass paypal-konten mit angeflanschtem guhgell-päjh-konto von irgendwelchen honks geplündert werden konnten. Paypal hat in seinem streben nach sichererererer eine virtuelle kreditkarte mit sehr kleinem nummernkreis erzeugt, und damit wurde bezahlt, ohne dass es zu weiteren prüfungen kam. Das ging nach ungefähr folgendem algoritmus:

  1. Erzeuge sieben willkürliche ziffern.
  2. Deine neue kreditkarte ist 5356 8001 XXXX XXXY, wobei X in punkt eins erzeugt wurde und Y einfach nur eine leicht berechenbare prüfziffer ist.
  3. Das ablaufdatum, die kartenprüfnummer oder der inhaber der kreditkarte werden beim bezahlen nicht überprüft. Rund eine von 100 kreditkartennummern aus dem nummernkreis ist mit einem zufälligen paypal-konto verbunden.

Weia! 🤦

Wie gesagt: da ist im vorfelde offenbar niemanden aufgefallen, dass es ein problem ist, wenn jemand einfach nummern durchprobieren kann und jedes hunderste mal gibt es einen jackpot. 🎰

Da kann man ja auch gar nicht dran denken! Es geht ja nur um geld…

Nur, um das nochmal klarzustellen: es war nicht die bummsregierung oder ein vergleichbarer inkompetenzcluster, dem da ein massives, ausbeutbares problem nicht auffiel, sondern es waren guhgell und paypal.

So konzipiert man seine lösungen bei irgendwelchen klitschen, von denen ihr euch freiwillig totalüberwachen lasst und die euch voll hippe, moderne und smarte bezahlverfahren verkaufen wollen. Und alle machen mit, wie die schmeißfliegen, die sich auf den frisch geplatschten kuhfladen stürzen… 😦

Herr, lass hirn vom himmel regnen! Oh, die spannen ja alle ihre regenschirme auf.

Nachtrag-link auf caschys blog: Google Pay streicht PayPal als Zahlungsmittel bei einigen Nutzern

Bei guhgell wird gerade ganz schön scheiße geschaufelt, und zwar so hektisch, dass nicht einmal die PR-sprechpüppchen schon die zettel mit den texten bekommen haben. Deshalb gibt es keine anständige kommunikazjon.

Guhgell päjh des tages

Na, bezahlt hier jemand ausgerechnet mit guhgell päjh über paypal? Da gibts gerade ein paar ganz bedauerliche einzelfall-pannen mit betrügerischen abbuchungen:

Einige Anwender, die Google Pay über PayPal nutzen, machten am Wochenende eine komische Entdeckung. Da gab es wohl Abbuchungen aus den USA, die nicht von den Nutzern in Deutschland getätigt wurden […] Die Nutzer sagten aus, dass sie die 2FA aktiviert hatten, zudem auch nichts in den Login-Aktivitäten finden konnten

Wer es dort lieber liest: heise hat die meldung auch. Und dort klingt es so, als sei das ausgebeutete sicherheitsproblem bei paypal schon seit einem verdammten scheißjahr bekannt, aber kompjutersicherheit kostet ja nur geld, ohne zusätzlichen umsatz zu generieren, und deshalb wurde nix unternommen. Für mich klingt das nicht plausibel, denn eine allgemeine paypal-lücke würde nicht nur bei nutzern von guhgell päjh ausgenutzt, sondern allgemein bei paypal-nutzern. Aus meiner sicht deutet alles darauf hin, dass guhgell hier etwas gründlich verkackt hat.

Müsst ihr alle schön zwei-faktor-autentifizierung mit euren scheißwischofonen machen und jedem honkmeister aus dem internetz eure telefonnummer geben, dann wird das alles viel viel viel sicherer und nix kann mehr passieren! Müsst ihr feste dran glauben, aber ganz feste! Der schleichwerbende fachjornalist hats schließlich gesagt, der flachjornalist hats wiederholt und der werber lobt diese „sicherheit“ auch in den allerhöchsten tönen! Da kann nix, ich wiederhole: nix bei passieren!!!elf!!1!1!! Schon gar nicht, wenns um so etwas unwichtiges wie geld geht!!!!!hundertelf!1! 💸

Zusätzlich gilt: je unverständlicher und undurchschauer das ganze verfahren ist, und je mehr unternehmen daran beteiligt sind, desto besser! Und jeder, der euch warnt und so sprüche wie „komplexität ist das gegenteil von zuverlässigkeit und sicherheit“ in den mund nimmt, ist ein rückständiger, ahnungsloser spinner, der die ganze welt ins mittelalter zurückschubsen möchte! Müsst ihr alles ganz feste glauben! Und ihr müsst natürlich noch glauben, dass es wahr wird, weil ihr es glaubt! Brave schäfchen! So, und jetzt zur schur und zur metzgerei… 🐑

Nicht daten sind der rohstoff der zukunft. Dummheit ists.

Übrigens: mit bargeld wäre das nicht passiert. Bargeld lacht, wenn die smarttrottel über ihre laufereien und verluste flennen. Und außerdem kann guhgell da nicht seine STASI-akten erweitern. 💶

TLS des tages

„Let’s encrypt“ kennt ihr? Bei denen gibts kostenlose TLS-zertifikate für webseits, damit die datenübertragung verschlüsselt ist und die besucher ein schlösschen im brauser sehen, das ihnen hilft, sich sicher zu fühlen. Das ist ein angebot, das zurzeit auch bei phishern sehr beliebt ist [Link geht auf eine niederländische webseit]:

Der kostenlose SSL-zertifikats-anbieter let’s encrypt hat binnen eines jahres an die 15.000 zertifikate für paypal-phishingseits ausgegeben […] Seit november ist die anzahl der ausgegebenen zertifikate für paypal-phishingseits stark angestiegen, unter anderem wurden allein im februar dieses jahres über 5.000 zertifikate ausgegeben

Tja, da wird sich wohl manch einer umschauen, der immer wieder vom scheißjornalisten erklärt bekommen hat, dass so ein im webbrauser sichtbares schlösschen „sicherheit“ bedeutet, wenn auf einmal sein konto von spämmern leergeräumt wird. 😦

Aus einem anonymen kommentar…

EBay verkauft/leekt [sic!] sämtliche persönlichen Daten (Mail-Adresse, Adresse, Vor-, Nachname, Telefonnummer, …) an Internetkriminelle.
PayPal tut dies (bis jetzt) „nur“ mit der Mail-Adresse

Natürlich mit den üblichen vorbehalten — der kommentar ist völlig anonym verfasst (einschließlich mäjhladresse über einen dienstleister für wegwerfadressen), muss nicht stimmen, mache ich mir auch nicht inhaltlich zueigen, sondern weise nur darauf hin — weitergegeben. Es klingt für mich aber keineswegs unplausibel. Und nur für den fall, dass ich diesen kommentar eines anonym bleibenden lesers demnächst in der BRD löschen muss, weil jemand im lande des vollumfänglichen rechtsschutzes für beleidigte leberwürste seine anwaltshorden losschickt, an den dunkelkammern von hamburg und köln das internetz durchlöschen zu lassen, gibt es hier noch ein kleines bildschirmfoto, gehostet in einem land, in dem die freiheit der meinungsäußerung in einer richtigen verfassung drinsteht. Und eine archivierung über das internetzarchiv.

„Cloud“ des tages

„Ab dem 19. Juni 2016 dürfen wir keine Paypal-Zahlungen mehr akzeptieren. Paypal hat uns aufgefordert, den Datenverkehr und die Daten unserer Kunden auf illegale Inhalte zu überprüfen und zu überwachen“. Weiterhin habe Paypal Seafile aufgefordert, detaillierte Statistiken über die Dateitypen vorzulegen, die die Kunden synchronisieren und teilen

Nun, damit dürfte jeder nutzer eines „cloud“-angebotes, dass man mit paypal bezahlen kann, wissen, was für teilweise weit in die privatsfäre reinragende daten einfach so an paypal übermittelt werden, weil paypal das einfordert.

Auch weiterhin viel spaß in den wolken!

Kennt ihr den schon?!

Zahlungsabwickler:
Paypal beteuert, Kundendaten nicht zu verkaufen

Nur echt mit… ähm… etwas überspezifischem dementi:

Kreditkartendaten der Kunden würden von Paypal nicht verkauft, erklärte das Unternehmen

Gefolgt von der mitteilung, dass… ähm… doch ein paar daten jetzt mal echt sicher und nur unter den bedingungsen im niegelesenen augenpulver der AGB an dritte weitergegeben werden. Aber hej, der schufa-datensammlungskram der BRD-bankhäuser ist auch ziemlich schlimm, wurde aber vom pressesprecher-bedenkenträger der BRD-bänkster kurz vergessen, was solls also. Und morgen: der sprechepresse der deutschen telekomiker wird so reden: „wir drosseln nicht (sondern leiten bestimmte daten bevorzugt durch)“. Dieses ganze PR-pack in einen großen sack und immer feste druff mit dem großen, schweren knüppel! Es trifft garantiert keinen falschen.

„Paypal“ und wischofon des tages

The video demonstrates a security bug in the official paypal mobile ios api. The bug allows to bypas [sic!] the account restriction by usage of a validation flaw inside of the service.

The identity check approves restricted user accounts. In the first released issue we demonstrated how to bypass the auth. In case of the new issue the researcher demonstrates how to bypass the identity check that approves the paypal account. The attacker bypass the validation by multiple requests and dumps the real website for login inside the app with cookies and co.

Auch weiterhin viel spaß mit euren wischofonen und dem immer häufiger angebotenen bekwemen bezahlen mit den wischofonen!

via Full Disclosure

Suchbegriff des tages

Suchbegriff des tages: „macht paypal umfragen“ — ja, paypal macht umfragen. Und paypal stellt sich dabei dermaßen bescheuert an, dass es mit seinen umfragen der internetz-kriminalität direkt zuarbeitet, weil den leuten die vorsicht abgewöhnt wird. Von daher kann ich gut verstehen, dass du die mäjhl von paypal zunächst für eine art phishing-spämm gehalten hast, denn das zeigt, dass du dein gehirn benutzt. Und das ist das beste werkzeug gegen viren, phishing und betrugsnummern.

„Paypal“ des tages

Ab dem 1. juli dieses jahres hat „paypal“ eine neue regelung zum datenschutz, die eine weitergabe sämtlicher daten an jede nur denkbare behörde gestattet. Ohne irgendeinen krimskrams. In vorauseilendem gehorsam. Auch ans dschobbcenter, wenn es irgendeinen verdacht oder generalverdacht hat. Oder an die polizei oder den verfassungsschutz, die ja sowieso am liebsten jeden menschen anlasslos totalüberwachen würden. Sind aber nur ganz harmlose daten:

Name, Adresse, E-Mail-Adresse, Telefonnummer, Benutzername, Foto, IP-Adresse, Geräte-ID, Standortdaten, Kontonummern, Kontoarten, Angaben zu den mit dem Konto genutzten Zahlungsinstrumenten, Details der Zahlungsvorgängen, Details zu geschäftlichen Zahlungen, Kundenangaben und -berichte, Kontovoreinstellungen, Angaben zur Identität, die im Rahmen unserer „Know Your Customer“-Prüfungen erfasst wurden und Kundenkorrespondenz.

Natürlich rückwirkend über die gesamte zeit hinweg, die jemand bei „paypal“ war. Bankgeheimnis ist nicht. Und warum sollte man so schön gesammelte daten jemals löschen?

Ich wünsche auch weiterhin viel spaß mit „paypal“! Und mit dem totalüberwachungsstaat, der von freidrehenden polizeien und geheimdiensten im rechtsfreien raum jenseits jeglicher „grundrechte“ aufgebaut und von unternehmen wie „paypal“ bückgeistig-vorauseilend bedient wird! Was hat nochmal an der DDR gestört? Ach ja, dass es da keine bananen gab, sonst eigentlich nichts… schon klar. Dafür ist hier immerhin alles banane…

Gibt es ein neues datenleck bei „paypal“?

Wenn ich diesen kommentar auf unser täglich spämm ernst nehme, gibt es bei paypal ein neues, möglicherweise wieder sehr großes datenleck. Es wäre ja nicht das erste, und schon dieses erste große Datenleck hat sich monatelang vor der offizjellen bestätigung durch ein maximal kundenverachtendes „paypal“ im spämmblog bemerkbar gemacht.