Wie viele der 330 Millionen Konten betroffen sind, hat Twitter nicht mitgeteilt. In einem Blogbeitrag fordert der Microblogging-Dienst seine Nutzer auf, umgehend ihre Passwörter zu ändern. weiter
Sie nutzen Fehler im elektronischen Schließsystem Vision by VingCard des schwedischen Anbieters Assa Abloy. Betroffen sind Schließanlangen von mehr als 42.000 Objekten in 166 Ländern. Die anfälligen Türschlösser benötigen ein Firmwareupdate. weiter
Der neue Hardware-Key soll die sichere Anmeldung bei mit Azure AD verwalteten Windows-10-Geräten ermöglichen. Er ist zunächst für den Einsatz in Unternehmen mit verteilter Belegschaft gedacht. Laut Hersteller ist er " der Anfang einer passwortlosen Welt". weiter
Der Support beschränkt sich auf Windows 10 in einer Azure-AD-Umgebung. FIDO2 Security Keys sollen die Anmeldung per Benutzername und Passwort vor allem an gemeinsam genutzten Geräten ersetzen. Auch eine Zwei-Faktor-Authentifizierung mit zusätzlicher PIN oder Fingerabdruck ist möglich. weiter
WebAuthn hat inzwischen die Verfahrensstufe Candidate Recommendation (CR) des Standardisierungsgrmium W3C erreicht. Und Microsoft, Google und Mozilla haben Unterstützung von WebAuthn für ihre Browser angekündigt. weiter
Durch die Fehlerbehebung wurde das Sicherheitsproblem sogar noch verschärft. Beliebige Prozesse können dabei den Inhalt des Speichers lesen und auch verändern. Ein Angreifer oder eine Malware muss dafür jedoch lokal angemeldet sein. weiter
Betroffen sind Systeme, die für die Übermittlung von Authentifizierungsdaten SAML verwenden. Ein Implementierungsfehler erlaubt Manipulationen dieser Daten. Als Folge erhalten Hacker unter Umständen ohne Kenntnis des Passworts Zugang zu beliebigen Konten. weiter
"Decentralized Digital Identities" nennt Microsoft ein neues Projekt für föderierte digitale Identitäten. Größtes Problem dabei scheint aktuell die Skalierbarkeit von Blockchain zu sein. Doch will Microsoft hier einen neuen Ansatz gefunden haben. weiter
Die Authentifizierung mit Fujitsu PalmSecure soll Passwörter überflüssig machen. Fujitsu verbaut die Sensoren in Notebooks und über USB anschließbaren Scannern. Der Hersteller verspricht eine höhere Sicherheit als mit anderen biometrischen Lösungen. weiter
Hacker schleusen schädliche Skripte unter anderem in die WordPress-Datenbank ein. Die Skripte führen den Keylogger und auch einen Krypto-Miner aus. Die aktuelle Angriffswelle betrifft fast 2100 Websites. weiter
Der kombinierte Schutz aus Fingerabdruck und PIN hatte sich umgehen lassen. Der Anbieter hatte sich sechs Monate für einen Patch Zeit gelassen. Nun sollen auch interne Prozesse optimiert werden. weiter
Keeper Security ist nicht amüsiert über eine aufgedeckte Sicherheitslücke und fühlt sich verleumdet. Die Schwachstelle betrifft seinen gleichnamigen Passwortmanager und wurde von Google-Sicherheitsforscher Tavis Ormandy gemeldet. weiter
Die Datenbank ist 36 GByte groß. Sie enthält mehr als 3,5 Milliarden Felder mit Informationen wie ethnische Zugehörigkeit, Finanzstatus und Adresse. Abweichend von der Amazon-Standardkonfiguration war der Server für alle authentifizierten AWS-Nutzer verfügbar. weiter
Der "Biometricks"-Angriff umgeht die biometrische Authentifizierung von Windows Hello mit einem Papierausdruck. Sicher ist die Gesichtserkennung erst mit aktuellsten Versionen von Windows 10 und nach Aktivierung von "Enhanced Anti-Spoofing". weiter
Sie steckt in TeamViewer für Windows, Mac OS X und Linux. Ein Angreifer kann die Funktion "Richtungswechsel" benutzen, um ohne Zustimmung des Nutzers die Kontrolle über sein System zu übernehmen. Beispielcode für einen Exploit findet sich auf GitHub. weiter
Die 5G-basierte Plattform für Multi-Access Edge Computing (MEC) soll schnelles und einfaches Bezahlen ermöglichen. Im Einzelhandel erlaubt sie personalisierte Angebote. Angedacht sind auch Lösungen für den Zugang zu Wohnungen und Geschäftsräumen. weiter
Sie liegen auf einem ungesicherten AWS-Storage-Server. Es handelt sich um ein vollständiges Festplattenabbild. Einige der darauf gespeicherten Daten sind als Top Secret eingestuft. Sie gehören zum Projekt Red Disk der US-Armee und der NSA. weiter
Eine Video zeigt die mühelose Entsperrung durch den zehnjährigen Ammar Malik. Er konnte die Authentifizierung mit Apples Gesichtserkennung angeblich beliebig oft überwinden. Das legt große Toleranzen zugunsten einer einfachen Nutzung nahe. weiter
Ein Video zeigt die Entsperrung eines iPhone X durch eine einfache Maske. Vietnamesische Sicherheitsforscher geben an, die Gesichtserkennung durch eine Schwäche in Apples KI überwunden zu haben. Auf einer Pressekonferenz wollen sie weitere Details enthüllen. weiter
FIDO erlaubt eine sichere Online-Anmeldung ohne Passwort. Die Technik benötigt aktuelle Core-Prozessoren von Intel. Die Anmeldung erfolgt per Fingerabdruck oder alternativ per Passwort plus PC als zweitem Faktor. Derzeit unterstützen beispielsweise Google, PayPal und Facebook diese Technik. weiter
Apps erzeugen problemlos Pop-ups , die sich von Apples offiziellen Aufforderungen zur Passworteingabe nicht unterscheiden. Eine Phishing-App kann damit ganz einfach an das Passwort für die Apple ID des Nutzers kommen. weiter
Das Interesse von Android-Herstellern an Techniken für die 3D-Gesichtserkennung hat sich verdreifacht. Anfragen nach Fingerabdruckscannern, die unter Glas funktionieren, sind indes rückläufig. Der Analyst Ming-Chi Kuo stuft die 3D-Gesichtserkennung als Premium-Funktion ein, die höhere Margen erlaubt. weiter
Mit der versehentlichen Veröffentlichung im eigenen Blog gefährdete PSIRT die Kommunikation mit externen Sicherheitsforschern. Den Fehler entdeckte tatsächlich ein Sicherheitsforscher, der das Team über eine Schwachstelle in einem Adobe-Produkt informieren wollte. weiter
Eine schludrig programmierte App macht sensible Kundendaten eines Wasserversorgers zugänglich. Ohne Authentifizierung lässt sich eine Datenbank mit Kontaktdaten, Zahlungsmodalitäten, Personalausweis- und Steuernummern anzapfen. Die Daten werden zudem unverschlüsselt übertragen. weiter
Ein 500 Dollar teures Gerät kann die Geräte-PIN erraten. Davon betroffen sind offenbar nur iPhone 7 und iPhone 7 Plus. Zudem muss ein Angreifer viel Zeit mitbringen. Der Vorgang dauert selbst bei einem vierstelligen Code mehrere Tage. weiter
Es handelt sich um eine Variante einer älteren Flash-Lücke. Ein niederländischer Sicherheitsforscher umgeht den von Adobe im September 2016 dafür veröffentlichten Fix. Seit vergangenem Dienstag steht ein neuer Patch zur Verfügung, der das Loch endgültig stopfen soll. weiter
Der Fehler hebelt die Ende-zu-Ende-Verschlüsselung aus. Ein Forscher registriert ein eigenes Gerät als vertrauenswürdig und ruft alle Inhalte des digitalen Schlüsselbunds eines Dritten ab. Apple verteilt bereits seit März Patches für iOS und macOS. weiter
Ein einzelnes Wildcard-Zertifikat kann eine Hauptdomain sowie zahlreiche Subdomains sichern. Das kostenlose Angebot kann Administratoren den Einsatz von HTTPS erheblich erleichtern. Die Zertifizierungsstelle will damit den Anteil verschlüsselter Webseiten weiter vorantreiben. weiter
Der Ring speichert für die Anmeldung einen Fingerabdruck und deaktiviert alle hinterlegten Anmeldedaten, sobald er abgelegt wird. Hersteller des Token genannten Rings ist das US-Start-up Tokenize. In den USA kommt Token im Dezember für 249 Dollar in den Handel. weiter
E-Mails geben Nutzern vor, ein ihnen bekannter Absender hätte ein Google-Docs-Textdokument mit ihnen geteilt. Über den Anmeldedienst OAuth verlangt eine als "Google Docs" getarnte Web-App dann Zugriffsrechte für Google-Dienste. weiter
