Privatsphäre und Datenschutz im Web 2.0

Das Blog zur Beratung von DeinWeb - Ein Web für alle!

Sicherheitslücke: Verbinden Sie Skype nicht mit Facebook!

Send to Kindle

In der neuen Skype-Version 5.5 für Windows wurde laut Heise eine schwere Sicherheitslücke gefunden, die es Angreifern ermöglicht, Zugriff auf den Skype-Account des Opfers zu bekommen, wenn eine Funktion benutzt wird, die Usern die Möglichkeit gibt, Aktivitäten von Freunden auf Facebook zu verfolgen und selbst auf Facebook zu posten. Der Angreifer muß dafür nicht mit dem Opfer befreundet sein.

Der Fehler ist jedoch nicht mit dem Update auf die Version 5.5 ins System gekommen, sondern bestand bereits in der Version 5.3. Ein Update, das das Problem behebt, soll in Arbeit sein. Bis dahin sollten Sie die Facebook-Integration in Skype unter Windows nicht nutzen!

Flattr this!

Facebook Share Twitter Share

Facebook: Clickjacking-Schutz hebelte Privatsphäreeinstellungen aus

Send to Kindle

Microsoft hat kürzlich eine Sicherheitslücke in Facebook bekanntgegeben, die durch den vor nicht allzu langer Zeit eingeführten Schutz vor Clickjacking ins System geraten war. Darüber konnte ein möglicher Angreifer die komplette Kontrolle über einen Facebook-Account erlangen. Die Lücke soll mittlerweile geschlossen worden sein. Microsoft Vulnerability Research habe den Vorgang an Facebook gemeldet, und zusammen habe man dafür gesorgt, daß die Lücke geschlossen wurde. Bemerkenswert an der Meldung von Microsoft ist der folgende Satz: Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Facebook: Noch eine Sicherheitslücke bei Login-Adressen (und @facebook.com-Adressen)

Send to Kindle

Angeregt durch die gestern berichtete Sicherheitslücke in Facebook, die es Usern ermöglicht, unter bestimmten Umständen Nachrichten im Namen Ihrer Freunde an Gruppen zu senden, habe ich ein wenig experimentiert und bin auf eine weitere Sicherheitslücke gestoßen. Im Prinzip ist es möglich, jedem Facebook-User im Namen eines anderen Facebook-Users eine private Nachricht auf Facebook zu schicken, ohne eingeloggt zu sein. Zwei Bedingungen müssen dafür erfüllt sein: Der Angreifer muß die Login-Adresse des vermeintlichen Absenders kennen, und der Empfänger muß eine @facebook.com-Adresse besitzen, die der Angreifer ebenfalls kennen muß. Beides ist oftmals jedoch kein Problem, weil die Login-Adressen in den Privatsphäreeinstellungen nicht ausreichend geschützt und @facebook.com-Adressen oftmals ohnehin öffentlich zugänglich oder zumindest leicht erratbar sind, da sie über die Vanity-URL, also die Kurz-URL für User-Profile, ermittelbar sind, wenn der User eine hat. Ist der Empfänger der Nachricht im Chat eingeloggt, landet die Nachricht übrigens dort.

Daher gilt auch hier mein Rat von gestern, die Login-Adresse auf Facebook geheim zu halten und in den Privatsphäreeinstellungen ihre Sichtbarkeit auf "Nur ich" zu setzen. Inhaber von @facebook.com-Adressen sollten bei Mails mit seltsamen Inhalten, die scheinbar von Facebook-Usern stammen, nachfragen, ob diese wirklich der Absender sind. Grundsätzlich aber gilt: Die Authentizität von Mails und Chatnachrichten, die Sie über Ihre @facebook.com-Adresse erhalten, ist nicht gewährleistet!

Danke auch an @muzzelchen fürs Testen. 🙂

Update von 27. 06. 2011: An einem kleinen Detail läßt sich, wie ich eben festgestellt habe, doch ersehen, daß die Mail nicht direkt von einem Facebook-Account gesendet wurde. In der rechten oberen Ecke der Nachricht sehen Sie, wenn die Mail von außerhalb kommt, ein Briefsymbol. Wenn Sie über dieses Briefsymbol mit der Maus fahren, sehen Sie einen Text "Gesendet von mail@extern". "mail@extern" ist eine externe Mailadresse. Facebook stellt also offensichtlich doch fest, daß die Mail nicht intern versendet wurde. Leider wird dennoch der Eindruck geschaffen, die Mail käme von dem jeweiligen User, der die Mailadresse als Login-Adresse verwendet. Aber an dem kleinen Briefsymbol können Sie mit ziemlich großer Sicherheit feststellen, daß der Absender gefälscht wurde, denn kaum jemand, der Ihnen direkt in Facebook eine Mail schicken kann, wird Ihnen diese Mail von seiner Login-Adresse aus schicken.

Flattr this!

Facebook Share Twitter Share

Sicherheitslücke bei Facebook: Halten Sie Ihre Login-Adresse geheim!

Send to Kindle

Wie Heise berichtet, existiert eine Sicherheitslücke in Facebook, die es erlaubt, in Gruppen Beiträge unter dem Namen von "Freunden" zu veröffentlichen. Sowohl Opfer wie auch Täter müssen zusätzlich zu der Bedingung, auf Facebook "befreundet" zu sein, Mitglied der gleichen Gruppe sein. Beide Voraussetzungen sind schnell erfüllt, da bei neuen Gruppen jedes Mitglied beliebige Freunde ohne deren Zustimmung hinzufügen kann. Die größte Hürde besteht darin, die Mailadresse zu ermitteln, mit der sich das Opfer in Facebook einloggt. Gelingt dies, ist es in einigen Fällen möglich, mit dieser Aresse als Absenderadresse Nachrichten im Namen des Opfers an die betreffende Facebook-Gruppe zu schicken. In anderen Fällen wurde der gefälschte Absender dagegen von Facebook erkannt.

Grundsätzlich gilt: Verwenden Sie für den Login auf Facebook eine Mailadresse, die ausschließlich bei Facebook für den Login und für Benachrichtigungen von Facebook Verwendung findet und niemandem sonst bekannt ist. Sie können diese Adresse auch nachträglich ändern, indem Sie in den Kontoeinstellungen eine neue Kontakt-E-Mail-Adresse eintragen. In den Privatsphäreeinstellungen müssen Sie die Sichtbarkeit für diese Adresse auf "Nur ich" umstellen.

Wenn Sie Ihre Login-Adresse auf diese Weise von Anfang an schützen und niemand Ihre Login-Adresse erraten kann, sollten Sie gegen diesen Angriff ausreichend geschützt sein. Zudem sollten Sie sich aus Gruppen austragen, in die Sie gegen Ihren Willen eingetragen wurden und in denen Sie kein Mitglied sein wollen.

Update vom 24. 06. 2011: Ich wurde gerade dank einer Leserin auf einen wichtigen Punkt hingewiesen: Wenn Sie bisher Ihre Login-Adresse in den Privatsphäreeinstellungen auf "Nur ich" stehen hatten und diese ändern, ändert sich auch die Privatsphäreeinstellung wieder auf "Nur Freunde"! Sie müssen also auch die Privatsphäreeinstellung neu auf "Nur ich" setzen, wenn sie die Login-Adresse ändern! Hier versagt Facebook mal wieder auf ganzer Linie.

Flattr this!

Facebook Share Twitter Share

Jetzt hat auch die Schufa mal ein Problem

Send to Kindle

Normalerweise ist es ja die Schufa, die Menschen Sorgen macht, wenn Zweifel an ihrer Bonität bestehen. Anscheinend hat jetzt aber die Schufa selbst ein Problem. Laut einem Bericht des Online-Magazins gulli ist es derzeit aufgrund einer Sicherheitslücke möglich, beliebige Daten vom Webserver der Wirtschaftsauskunftei herunterzuladen. Man habe, so gulli, die Probleme nach einem anonymen Hinweis bestätigen können und die Schufa auf die Sicherheitslücke aufmerksam gemacht. Eine Stellungnahme der Schufa selbst liegt noch nicht vor. Besorgte Bürger können aber sicher unter meineschufa@schufa.de Auskunft von der Auskunftei bezüglich des Vorgangs bekommen.

Update vom 12. 06. 2011: Nach einer Stellungnahme der Schufa sind keine personenbezogenen Daten betroffen, sondern nur "Formulare und andere für Kunden gedachte Dokumente". Bedeutet das Entwarnung? Nicht wirklich, denn nichtsdestotrotz ist der Vorfall bedenklich. Denn um die von gulli beschriebene Sicherheitslücke auszunutzen, bedurfte es keiner tiefgreifenden technischen Kenntnisse. Zudem weist die Lücke auf grundlegende Anfängerfehler bei der Programmierung des Portals hin, die in einem Kontext, bei dem es um derart sensible Daten geht, nicht passieren dürfen. Wie Jörg Schieb richtig konstatiert, müssen die Anbeiter von Anwendungen, "die sensible Daten von Bundesbürgern speichern [...] erst recht, wenn diese Daten so sensibel sind wie im Fall der Schufa und die Daten auch noch gegen den Willen der Betroffenen erhoben werden", regelmäßige Sicherheitsprüfungen durchführen.

Flattr this!

Facebook Share Twitter Share

Gigantische Sicherheitslücke bei Twitter legt private Nachrichten offen

Send to Kindle

Wie aktuell festgestellt wurde, gibt es auf Twitter eine große Sicherheitslücke. Jede Dritt-Anwendung, also alle Anwendungen, die nicht von Twitter selbst zur Verfügung gestellt werden, kann auf private Nachrichten zugreifen, auch wenn der User dazu seine Zustimmung nicht erteilt hat.

Angesichts dieser gigantischen Sicherheitslücke sollten Sie sehr vertrauliche Informationen nicht über Twitter verschicken. Es empfiehlt sich ohnehin, dies nicht über soziale Netzwerke zu tun, sondern über verschlüsselte E-Mails.

Update vom 11. 06. 2011: Twitter hat am 18. Mai 2011 angekündigt, den automatischen Zugriff auf private Nachrichten abzuschaffen, aber noch besteht das Problem. Auf jeden Fall muß sich der Anbieter fragen lassen, warum der automatische Zugriff auf private Nachrichten für alle Dritt-Anwendungen ohne Kenntnis der User überhaupt möglich war. Eigentlich hätte man von Twitter von Anfang eine detaillierte Autorisierung ähnlich wie bei Facebook-Anwendungen erwarten können, die genau abfragt, auf welche Daten die Anwendung zugreifen darf, anstatt einfach davon auszugehen, daß jede Anwendung auf alles Zugriff haben muß und dem User das auch bewußt zu sein hat. Daß irgendwann Dritt-Anwendungen entstehen, die nicht einfach nur zum Twittern verwendet werden, wurde hier offenbar nicht bedacht. Aber selbst bei solchen Anwendungen sollten die User detailliert darüber aufgeklärt werden, auf welche Daten die Anwendung zugreift.

Flattr this!

Facebook Share Twitter Share

Facebook verrät alte Paßwörter

Send to Kindle

Als ich mich gestern in Facebook einloggen wollte, staunte ich nicht schlecht. Ich gab versehentlich das alte Paßwort ein, weil ich am Mittwoch das Paßwort aufgrund des da bekanntgewordenen Datenlecks ändern wollte. Die Fehleingabe wurde nicht etwa nur mit der Meldung quittiert, daß mein Paßwort falsch sei, sondern mit folgender Meldung: Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Facebook schließt Sicherheitslücke bei Hotmail-Mailadressen

Send to Kindle

Wie heute bekannt wurde, wurde eine Sicherheitslücke bei Facebooks Paßwort-Vergessen-Funktion entdeckt, die dazu geführt hat, daß Angreifer die Paßwörter beliebiger User ändern konnten, die als Login eine Hotmail-Adresse angegeben hatten. Den ganzen Beitrag lesen »

Flattr this!

Facebook Share Twitter Share

Copyright © 2017 by: DeinWeb - Ein Web für alle! • Template by: BlogPimp Lizenz: Creative Commons BY-NC-SA.
Twitter-Button: IconTexto, http://icontexto.blogspot.com/