lost+found: Was von der Woche übrig blieb

Microsoft hat Zwei-Faktor-Authentifizierung nun flächendeckend für alle Nutzer von Office 365 eingeführt. Bisher war es nur für Administrator-Accounts nutzbar. Der zweite Faktor ist entweder eine SMS, eine App-Notification oder ein Anruf auf einem registrierten Handy.

Wie die Beratungsfirma Netcraft berichtet, finden sich im Netz dutzende von Fake-Zertifikaten für bekannte Domains von Diensten wie Facebook oder einer Reihe von Online-Banking-Portalen. Zwar werden diese Zertifikate von den meisten Browsern nicht anerkannt, allerdings gibt es viele Smartphone- und Tablet-Apps, die bei der Annahme von SSL-Zertifikaten nicht so wählerisch sind.

Die neueste Masche beim Spam-Versand über Snapchat scheinen Bilder von Frucht-basierten Getränken zu sein. Die appetitlichen Fotos linken zu einer Domain, die zwar wie Groupon aussieht, aber in Wirklichkeit die Besucher abzockt.

Was passiert wenn man einen Pseudo-Zufallszahlengenerator nicht ordentlich implementiert, haben Entwickler der Firma ASF Software schon vor 15 Jahren festgestellt. Vier Fehler in ihrem Algorithmus für Onlinepoker-Plattformen erlaubten es Angreifern ein Programm zu schreiben, dass bei Kenntnis von fünf Karten alle weiteren zuverlässig voraussagen konnte. Das macht das Gewinnen beim Poker natürlich erheblich einfacher.

Im Rahmen des Bug-Bounty-Programms der Deutschen Telekom wurden drei Schwachstellen auf den Webseiten des Unternehmens geschlossen. Es handelte sich um Lücken, welche die Ausführung von Schadcode, SQL Injection und das Hochladen von beliebigen Dateien auf den Servern ermöglichten. Als Belohnung zahlte die Telekom 1000 Euro pro Lücke.

Die Webseite Sectoolmarket.com liefert eine Übersicht über 63 Sicherheits-Scanner für Web-Applikationen. Aufgelistet sind Benchmark-Ergebnisse, Preis und Funktionsumfang. Die Seite wird von Sicherheitsforscher Shay Chen betrieben. (fab)