Sie erlaubte es Angreifern, sich Zugang zu Benutzerkonten und persönlichen Daten zu verschaffen. OAuth kommt bei vielen Angeboten zum Einsatz, die etwa eine Autorisierung via "Log-in mit Facebook" oder "Anmelden mit Google" durchführen. Inzwischen wurde die Schwachstelle behoben. weiter
Dritte könnten durch Ausnutzen der vom Sicherheitsforscher Hanno Heinrichs entdeckten Schwachstelle auf Kosten von O2-Kunden mit VoIP-Anschlüssen telefonieren. O2 sind aber bislang keine solche Fälle bekannt. Es will die Lücke bis Ende des ersten Quartals vollständig schließen. weiter
Der Täter versuchte, Geld an eine mit der Terrormiliz Islamischer Staat verbundene Hackergruppe zu überweisen. Trotz aktiver 2-Faktor-Authentifizierung konnte er das Konto durch einen Anruf beim Paypal-Support übernehmen. Für die Passwort-Rücksetzung genügte die Beantwortung weniger Fragen mit leicht zugänglichen Antworten. weiter
Sie enthält nach erster Kritik im Oktober eine Root-Erkennung und sucht nach installierten Frameworks wie Xposed. Beides lässt sich aber durch Umbenennungen umgehen. Das Hauptproblem ist laut Vincent Haupert die Zusammenführung zweier Faktoren auf einem Smartphone. weiter
Etwa eine Stunde lang bekamen manche Anwender Kontodaten von Fremden zu sehen. Steam-Betreiber Valve zufolge handelte es sich um ein Cache-Problem nach einer Konfigurationsänderung. Anwender müssen ihm zufolge keine Maßnahmen ergreifen. weiter
Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich. weiter
Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig. weiter
Dies gilt sowohl für die Notebook-Nachrüst-Lösung EyeX wie auch das für Integratoren gedachte Modul IS4. Sie erkennen das Gesicht des Anwenders und erlauben zusätzlich Maussteuerung mit den Augen. Auch kann sich der Bildschirm automatisch abdunkeln, sobald der Nutzer wegsieht. weiter
Mit dem Private Key könnten Kriminelle sich als die Domain xboxlive.com ausgeben und etwa Zugangs- oder Zahlungsdaten stehlen. Das scheint Microsoft zufolge nicht der Fall. Es hat dem Zertifikat das Vertrauen entzogen. Sicherheitsforscher sind jedoch irritiert, wie es zu dem Vorfall kommen konnte. weiter
Innerhalb des nächsten Jahres sollen Sicherheitslösungen erscheinen, die Biometrie, dynamische Schlüssel oder Geolokalisierung zur Authentifizierung verwenden. Mit VIP Everywhere will Symantec beispielsweise sein Produkt Validation and ID Protection um Ende-zu-Ende-Authentifizierung erweitern. weiter
Sie erhalten eine E-Mail sowie eine Nachricht in ihrem Message Center. Amazon zufolge wurden die Passwörter einiger Kunden "unsachgemäß" gespeichert und möglicherweise gegenüber Dritten offengelegt. Konkrete Hinweise darauf findet das Unternehmen jedoch nicht. weiter
Einem New Yorker Bezirksstaatsanwalt zufolge unterstützt Google so auf Anordnung eines Gerichts die Ermittler bei ihrer Arbeit. Die "Hintertür" gilt allerdings nur für ältere Android-Versionen. Auf Daten von Android 5 und 6 hat Google, falls die Geräteverschlüsselung aktiv ist, keinen Zugriff. weiter
Die Anmeldung in zwei Schritten soll die Sicherheit des Amazon-Kontos bei einem Passwortverlust gewährleisten. Den benötigten Code verschickt Amazon per SMS. Er lässt sich aber auch mit einer App wie Google Authenticator oder Sophos Authenticator generieren. weiter
Den Angriff können auch unerfahrene Nutzer ausführen. Er funktioniert allerdings nur auf mit einer Domäne verbundenen Computern. Microsoft bietet seit vergangener Woche den Patch MS12-122 an, der die Lücke schließen soll. weiter
Nutzer müssen dafür allerdings ein Smartphone bei Yahoo registrieren. Auf diesem Gerät erhalten sie bei jedem Anmeldeversuch eine Push-Benachrichtigung, mit der sie die Anmeldung auf einem anderen Computer bestätigen. Account Key funktioniert anfänglich nur mit Yahoo Mail. weiter
Bei einem gezielten Angriff wurden die Anmeldedaten von über 11.000 Mitarbeitern einer großen Organisation erbeutet. Auf dem OWA-Server lief eine manipulierte DLL-Datei, die zugleich eine Hintertür einrichtete. Open Web Access ist ein interessantes Ziel für Angreifer, da es als Vermittler zwischen dem öffentlichen Internet und internen Ressourcen hinter der Firewall einer Firma fungiert. weiter
Außerdem behebt das Update auch einen Fehler, der beim Ein- oder Ausschalten der mobilen Datenverbindung auftritt. Auch die Aktivierung von iMessage soll nun problemlos funktionieren. weiter
Das Office of Personnel Management korrigiert die Zahl damit deutlich nach oben. Eine Arbeitsgruppe prüft nun, wie Kriminelle die Daten für ihre Zwecke benutzen können. Daran beteiligen sich FBI, Justiz- und Heimatschutzministerium. weiter
Der Hack funktioniert aber nur in Verbindung mit einem Passwort. Die unsicherere PIN-Eingabe lässt sich nicht aushebeln. Google verteilt inzwischen einen Patch für seine Nexus-Geräte. weiter
Besonders im Zuge der digitalen Transformation sind viele Unternehmen Kundendaten einer der zentralen Aktivposten. Die angemessene Handhabung im Spannungsfeld zwischen Geschäftsnutzen, Vertrauen und Sicherheit sind eine zentrale Herausforderung für praktisch jedes Unternehmen. weiter
Strukturelle und rechtliche Veränderungen definieren die Anforderungen an ein effizientes Berechtigungsmanagement neu. Moderne Konzepte umfassen Komponenten und Prozesse, die unter dem Oberbegriff Access Governance zusammengefasst werden. weiter
Nach Recherchen von Wired waren bis zu 1,7 Millionen Konten potenziell betroffen. Laut dem Betreiber der Angebote gab es jedoch keinen einzigen Fall, in dem die Lücke ausgenutzt wurde. Inzwischen ist sie geschlossen. weiter
Es setzt wie etwa auch Google auf Universal 2nd Factor, kurz U2F - einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren. weiter
Sie nutzen eine schon seit 2001 bekannte Sicherheitslücke. Bisher erlaubte sie aber nur einen Datendiebstahl im Intranet. Die Forscher greifen aber nun auch auf cloudbasierte Exchange- und SharePoint-Server zu. weiter
Davon betroffen sind unter anderem das HTC One Max und das Samsung Galaxy S5. Ein Angreifer braucht dafür lediglich System-Rechte. Danach erhält er unbegrenzt Zugriff auf alle mit dem Sensor erfassten Fingerabdrücke. weiter
Die Schwachstelle erlaubte auf verblüffend einfache Weise die Übernahme von Konten der Computerspiele-Plattform. Mehr als die Kenntnis des Kontonamens brauchte es nicht, um das bisherige Passwort durch ein neues zu ersetzen. Zu den Opfern zählten insbesondere prominente Gamer, die über die Live-Video-Plattform Twitch streamen. weiter
Es wurde an der Universität Luxemburg entwickelt. Bis Ende des dritten Quartals wollen Erfinder und Juroren nun eine finale Version samt Referenzimplementierung in C schaffen. Vier weitere Hashing-Algorithmen werden für besondere Stärken empfohlen. weiter
Forscher kommen innerhalb von 52 Stunden an die Daten eines verschlüsselten Cookies. Anschließend können sie sich im Namen eines Opfers bei einer Website anmelden. Bisher benötigten die Forscher etwa 2000 Stunden, um eine RC4-Verschlüsselung zu knacken. weiter
Die neue Sicherheitsfunktion löst die bisherige "zweistufige Bestätigung" ab und führt einen sechsstelligen statt nur vierstelligen Bestätigungscode ein. Dieser wird an alle angemeldeten Geräte des Nutzers geschickt und zusätzlich zum Passwort benötigt. Der 14-stellige Schlüssel für die Wiederherstellung entfällt zugunsten einer aufwendigen Überprüfung durch den Apple-Support. weiter
In einem Pilotprogramm mit 500 Teilnehmern will die Kreditkartengesellschaft die Autorisierung mittels Fingerabdruck oder Gesichtserkennung erproben. Die Teilnehmer müssen beim Selfie mit dem Smartphone blinzeln, damit das System nicht durch ein davorgehaltenes Foto getäuscht werden kann. MasterCard hofft, dass die Beliebtheit von Selfies zu einer bereitwilligen Akzeptanz der Gesichtserkennung führt. weiter
