lost+found: Was von der Woche übrig blieb
Heute mit: wertvollen Twitter-Konten, geklauten Diebstahlschutz-Daten, Sicherheits-Problemen bei Firefox und Paypal für Android und möglichen Folgen der Einbrüche bei Huawei.
- Fabian A. Scherschel
Laut einer von Juniper Networks in Auftrag gegebenen Studie sind Twitter-Konten auf dem Schwarzmarkt unter Umständen mehr wert als Kreditkartendaten. Laut der Studie können Ganoven mit Kreditkartendaten bis zu 40 US-Dollar verdienen, mit einem Twitter-Konten aber bis zu 325 Dollar. Dies soll vor allem daran liegen, dass die Gauner durch das Twitter-Konto Kontrolle über andere Konten der Opfer erlangen können – und per Phishing-Angriff werden dann auch deren Kontakte zum Ziel.
Die Hersteller der Cerberus Anti-Diebstahl-App für Android-Smartphones haben ihren Nutzern mitgeteilt, dass bei einem Einbruch in ihre Server die Nutzernamen und verschlüsselten Passwörter von fast 100.000 Konten gestohlen wurden. Betroffene Nutzer sollten ihr Passwort zurücksetzen, um zu verhindern, dass Unbefugte ihre Geräte aus dem Netz löschen können.
Die Einreichungsfrist der Password Hashing Competition endet am 31. März. Die Organisatoren des Wettbewerbs suchen nach neuen Methoden, Passwörter sicher zu hashen. Der Wettbewerb wird von einer Reihe von Sicherheitsexperten aus Wirtschaft, Lehre und einigen Open-Source-Projekten seit Anfang 2013 ausgerichtet.
Der Sicherheitsberater Robert Graham berichtet, dass er die Folgen der Einbrüche bei Huawei eventuell sogar kürzlich live miterlebt hat. Auf dem System eines Kunden meldete sich jemand über einen Zugang des Huawei-Supports an, führte einige Datenbankabfragen durch, verschlüsselte deren Ergebnisse, verschickte sie via E-Mail und löschte gezielt alle zugehörigen Logfile-Einträge. Die Anfragen deuteten sehr klar auf die Interessen amerikanischer Geheimdienste hin. Angesichts der Verbreitung von Huawei-Hardware mit Support-Vertrag ein erschreckendes Angriffsszenario, das gar nichts mit Diebstahl von Quellcode oder Hintertüren in Produkten zu tun hat.
Wenn man den Namen des Verzeichnisses kennt, in dem das Browser-Profil liegt, kann man eine Menge Unsinn anstellen. Bei Firefox für Android gab es da wohl diesbezügliche Sicherheitsprobleme.
Wer noch Android 4.2 oder niedriger einsetzt, sollte einen Bogen um die Paypal App machen: Laut MWR Labs kann da nämlich ein Man-In-The-Middle Code einschleusen, der vollen Zugriff auf das Paypal API hat – und somit wohl auch Geld überweisen könnte. Abhilfe schafft nur ein Android-Update auf mindestens 4.3; Paypal hat das Problem anscheinend als "Will not Fix" eingestuft. (fab)
