Aktuelle Sicherheitslücken

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3458

03.04.2024 - 17:59

Na bitte, is ja ein schöner Informationssicherheitsvorfall

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2082

03.04.2024 - 19:55

Zitat aus einem Post von smashIt
unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen.
mit cc, nicht bcc...

GDPR verstoß.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16633

03.04.2024 - 20:04

Ja mei. praktisch halt echt kein Security Thema.

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3458

03.04.2024 - 20:10

Zitat aus einem Post von Smut
Ja mei. praktisch halt echt kein Security Thema.

Das kommt jetzt aber schon stark drauf an, wie man Security definiert

.

Jedimaster

Here to stay

Registered: Dec 2005
Location: Linz
Posts: 2543

03.04.2024 - 20:13

Hab heute ein nettes Scammail bekommen ...

Anfrage einer Firma aus Deutschland für die Lieferung von 1500 Apple Magic Mouse 3

Die Firma gibts wirklich, die Webseite auch wirklich, mit dem kleinen Unterschied:

Die firmenname.de.com hat auf die Firmenname.de automatisch weitergeleitet und somit legit gewirkt, die Mailadresse läuft aber auf protected und der Typ ist 2022 laut kurzer Googlesuche verstorben

Nice try, da werden wieder einige drauf reinfallen nehm ich mal an, grade da die EDV-Handelsbranche grad recht verzweifelt Umsätze sucht...

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 13713

03.04.2024 - 20:23

Zitat aus einem Post von Smut
Ja mei. praktisch halt echt kein Security Thema.

imho schon, die normale CC funktion sollte eigentlich in e-mail clients so versteckt sein, dass keiner hinfindet ohne dass man sich wirklich auskennt und das auch will.

othan

Layer 8 Problem

Registered: Nov 2001
Location: Switzerland
Posts: 4206

03.04.2024 - 21:00

Zitat aus einem Post von smashIt
unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen.
mit cc, nicht bcc...

wozu brauchen wir noch sicherheitslücken

So einen Fall hatte ich kürzlich mit einer ehemaligen Mitarbeiterin von einem Lieferanten.
Hat ihr Abschiedsmail an die Kunden innerhalb von 2 Tagen 3x so versendet und via Outlook probiert die Mails wieder zurückzuziehen.
Aber bei allen Mails waren die Adressen im CC :bash:

Immerhin habe ich so die Kontaktdaten zu einem ehmaligen Arbeitskollegen erhalten

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11534

03.04.2024 - 21:37

Zitat aus einem Post von InfiX
imho schon, die normale CC funktion sollte eigentlich in e-mail clients so versteckt sein, dass keiner hinfindet ohne dass man sich wirklich auskennt und das auch will.

schwierig, die braucht man doch recht häufig imho

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16633

03.04.2024 - 22:42

Zitat aus einem Post von UnleashThebeast
Das kommt jetzt aber schon stark drauf an, wie man Security definiert .

Be my guest und erklär mir die Definition

Email Adressen sind per Definition mal nicht schützenswert. Der Kontext des leaks kann sensibel sein - aber nicht bei einem Installateur. Der hat jetzt sein Adressbuch geleaked. Ja, man kann ihn wegen dsgvo auf die Nerven gehen. Praktisch ist da jetzt aber kein Schaden ableitbar.

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10910

03.04.2024 - 22:49

Geleakte Adressen können missbraucht werden. Oft enthalten gerade private Adressen ja dann noch zusätzliche Informationen über den User. Wenns dann noch eine Kundenliste ist dann sind vielleicht auch noch Angehörige drauf. Aus protected und protected entsteht dann schnell mal ein funktionierendes Passwort und schwupp, kommt der Boris Becker.
Klar, Sicherheitslücke im Sinne des Threads ist es keine, aber sicherheitsrelevant auf jedenfall.

Smut

takeover & ether

Registered: Feb 2003
Location: VIE
Posts: 16633

03.04.2024 - 22:57

Zitat aus einem Post von hynk
Geleakte Adressen können missbraucht werden. Oft enthalten gerade private Adressen ja dann noch zusätzliche Informationen über den User. Wenns dann noch eine Kundenliste ist dann sind vielleicht auch noch Angehörige drauf. Aus protected und protected entsteht dann schnell mal ein funktionierendes Passwort und schwupp, kommt der Boris Becker.
Klar, Sicherheitslücke im Sinne des Threads ist es keine, aber sicherheitsrelevant auf jedenfall.

Das wäre halt jetzt lt. Definition Security by obscurity.
Email Adressen sind halt Ansich konzipiert wie die Anschrift auf einem Brief. TLS zwischen den MTAs macht das nachträglich etwas sicherer, ist aber defacto optional.
Deine Punkte sind schon valide in der Praxis, ob die dsgvo diese User aber schützt: ich denke nicht - Verhaltensänderung ist wohl das einzig zielführende.

uebi

Here to stay

Registered: Jan 2003
Location: AT
Posts: 1756

04.04.2024 - 06:29

Mein Senf dazu:

Wenn ein User in das CC: Feld mehr als 10 Recipients eingibt, sollte er über die Maus einen Stromschlag zur Awarenessschaffung bekommen, um sich zu überlegen ob er da nicht gerade einen Blödsinn begehen könnte und kann das erst nach dem Finden einer neuen Stelle von PI abschicken.

Und wer in seiner Emailadresse sicherheitsrelevante Attribute eincodiert hat gehört sowieso an seinen Geschlechtsteilen verkehrt aufgehängt und hats verdient gecryptoscamt zu werden. Aber das ist vermutlich eh die Person, die ein schon aufgrund des ersten Absatzses eine Dauerwelle mit Schmorgeruch haben wird.

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19619

04.04.2024 - 06:55

Dann braucht man aber eine Konzern-Version vom client, da sind ja meist mehr Leute in cc als im to

Das mit "cc" ist so ein Elitist-Ding. Ich verstehe jedwede Argumentation warum das schlecht ist. Die allermeisten "Normalos" ordnen die Gefährlichkeit aber vollkommen anders ein.

uebi

Here to stay

Registered: Jan 2003
Location: AT
Posts: 1756

04.04.2024 - 08:11

Zitat aus einem Post von HaBa
Dann braucht man aber eine Konzern-Version vom client, da sind ja meist mehr Leute in cc als im to

Das mit "cc" ist so ein Elitist-Ding. Ich verstehe jedwede Argumentation warum das schlecht ist. Die allermeisten "Normalos" ordnen die Gefährlichkeit aber vollkommen anders ein.

oder man verwendet es um die CC: Krätze abzutrainieren. Bei mir in der Bude ist bei den meisten FüKra ganz offen das Statement, das Mails, das sie übers CC erreicht automagisch als "gelesen" in einen "Archivorder" geschoben werden von einer Rule.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11534

04.04.2024 - 08:23

das problem ist dass es manche mit geltungsdrang halt hyperinflationär verwenden und alle möglichen Personen mit reingeben die eigentlich nicht notwendig sind.

Das von die genannte Phänomen kenn ich auch, ist aber imho das andere extrem. Weil woher soll ich als externer wissen dass xy keine Mails liest...

edit: bei dem letzt genannten Verhalten kommt außerdem raus dass dann alle ins "to" Feld gesetzt werden und das führt dann wieder dazu dass sich keiner angesprochen fühlt weils nicht eindeutig ist

Bearbeitet von davebastard am 04.04.2024, 08:26

UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3458	03.04.2024 - 17:59 Na bitte, is ja ein schöner Informationssicherheitsvorfall
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2082	03.04.2024 - 19:55 Zitat aus einem Post von smashIt unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen. mit cc, nicht bcc... GDPR verstoß.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16633	03.04.2024 - 20:04 Ja mei. praktisch halt echt kein Security Thema.
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3458	03.04.2024 - 20:10 Zitat aus einem Post von Smut Ja mei. praktisch halt echt kein Security Thema. Das kommt jetzt aber schon stark drauf an, wie man Security definiert .
Jedimaster Here to stay Registered: Dec 2005 Location: Linz Posts: 2543	03.04.2024 - 20:13 Hab heute ein nettes Scammail bekommen ... Anfrage einer Firma aus Deutschland für die Lieferung von 1500 Apple Magic Mouse 3 Die Firma gibts wirklich, die Webseite auch wirklich, mit dem kleinen Unterschied: Die firmenname.de.com hat auf die Firmenname.de automatisch weitergeleitet und somit legit gewirkt, die Mailadresse läuft aber auf protected und der Typ ist 2022 laut kurzer Googlesuche verstorben Nice try, da werden wieder einige drauf reinfallen nehm ich mal an, grade da die EDV-Handelsbranche grad recht verzweifelt Umsätze sucht...
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 13713	03.04.2024 - 20:23 Zitat aus einem Post von Smut Ja mei. praktisch halt echt kein Security Thema. imho schon, die normale CC funktion sollte eigentlich in e-mail clients so versteckt sein, dass keiner hinfindet ohne dass man sich wirklich auskennt und das auch will.
othan Layer 8 Problem Registered: Nov 2001 Location: Switzerland Posts: 4206	03.04.2024 - 21:00 Zitat aus einem Post von smashIt unser örtlicher installateur hat gerade eine mail an alle im ort rausgeschossen. mit cc, nicht bcc... wozu brauchen wir noch sicherheitslücken So einen Fall hatte ich kürzlich mit einer ehemaligen Mitarbeiterin von einem Lieferanten. Hat ihr Abschiedsmail an die Kunden innerhalb von 2 Tagen 3x so versendet und via Outlook probiert die Mails wieder zurückzuziehen. Aber bei allen Mails waren die Adressen im CC Immerhin habe ich so die Kontaktdaten zu einem ehmaligen Arbeitskollegen erhalten
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11534	03.04.2024 - 21:37 Zitat aus einem Post von InfiX imho schon, die normale CC funktion sollte eigentlich in e-mail clients so versteckt sein, dass keiner hinfindet ohne dass man sich wirklich auskennt und das auch will. schwierig, die braucht man doch recht häufig imho
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16633	03.04.2024 - 22:42 Zitat aus einem Post von UnleashThebeast Das kommt jetzt aber schon stark drauf an, wie man Security definiert . Be my guest und erklär mir die Definition Email Adressen sind per Definition mal nicht schützenswert. Der Kontext des leaks kann sensibel sein - aber nicht bei einem Installateur. Der hat jetzt sein Adressbuch geleaked. Ja, man kann ihn wegen dsgvo auf die Nerven gehen. Praktisch ist da jetzt aber kein Schaden ableitbar.
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10910	03.04.2024 - 22:49 Geleakte Adressen können missbraucht werden. Oft enthalten gerade private Adressen ja dann noch zusätzliche Informationen über den User. Wenns dann noch eine Kundenliste ist dann sind vielleicht auch noch Angehörige drauf. Aus protected und protected entsteht dann schnell mal ein funktionierendes Passwort und schwupp, kommt der Boris Becker. Klar, Sicherheitslücke im Sinne des Threads ist es keine, aber sicherheitsrelevant auf jedenfall.
Smut takeover & ether Registered: Feb 2003 Location: VIE Posts: 16633	03.04.2024 - 22:57 Zitat aus einem Post von hynk Geleakte Adressen können missbraucht werden. Oft enthalten gerade private Adressen ja dann noch zusätzliche Informationen über den User. Wenns dann noch eine Kundenliste ist dann sind vielleicht auch noch Angehörige drauf. Aus protected und protected entsteht dann schnell mal ein funktionierendes Passwort und schwupp, kommt der Boris Becker. Klar, Sicherheitslücke im Sinne des Threads ist es keine, aber sicherheitsrelevant auf jedenfall. Das wäre halt jetzt lt. Definition Security by obscurity. Email Adressen sind halt Ansich konzipiert wie die Anschrift auf einem Brief. TLS zwischen den MTAs macht das nachträglich etwas sicherer, ist aber defacto optional. Deine Punkte sind schon valide in der Praxis, ob die dsgvo diese User aber schützt: ich denke nicht - Verhaltensänderung ist wohl das einzig zielführende.
uebi Here to stay Registered: Jan 2003 Location: AT Posts: 1756	04.04.2024 - 06:29 Mein Senf dazu: Wenn ein User in das CC: Feld mehr als 10 Recipients eingibt, sollte er über die Maus einen Stromschlag zur Awarenessschaffung bekommen, um sich zu überlegen ob er da nicht gerade einen Blödsinn begehen könnte und kann das erst nach dem Finden einer neuen Stelle von PI abschicken. Und wer in seiner Emailadresse sicherheitsrelevante Attribute eincodiert hat gehört sowieso an seinen Geschlechtsteilen verkehrt aufgehängt und hats verdient gecryptoscamt zu werden. Aber das ist vermutlich eh die Person, die ein schon aufgrund des ersten Absatzses eine Dauerwelle mit Schmorgeruch haben wird.
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19619	04.04.2024 - 06:55 Dann braucht man aber eine Konzern-Version vom client, da sind ja meist mehr Leute in cc als im to Das mit "cc" ist so ein Elitist-Ding. Ich verstehe jedwede Argumentation warum das schlecht ist. Die allermeisten "Normalos" ordnen die Gefährlichkeit aber vollkommen anders ein.
uebi Here to stay Registered: Jan 2003 Location: AT Posts: 1756	04.04.2024 - 08:11 Zitat aus einem Post von HaBa Dann braucht man aber eine Konzern-Version vom client, da sind ja meist mehr Leute in cc als im to Das mit "cc" ist so ein Elitist-Ding. Ich verstehe jedwede Argumentation warum das schlecht ist. Die allermeisten "Normalos" ordnen die Gefährlichkeit aber vollkommen anders ein. oder man verwendet es um die CC: Krätze abzutrainieren. Bei mir in der Bude ist bei den meisten FüKra ganz offen das Statement, das Mails, das sie übers CC erreicht automagisch als "gelesen" in einen "Archivorder" geschoben werden von einer Rule.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11534	04.04.2024 - 08:23 das problem ist dass es manche mit geltungsdrang halt hyperinflationär verwenden und alle möglichen Personen mit reingeben die eigentlich nicht notwendig sind. Das von die genannte Phänomen kenn ich auch, ist aber imho das andere extrem. Weil woher soll ich als externer wissen dass xy keine Mails liest... edit: bei dem letzt genannten Verhalten kommt außerdem raus dass dann alle ins "to" Feld gesetzt werden und das führt dann wieder dazu dass sich keiner angesprochen fühlt weils nicht eindeutig ist Bearbeitet von davebastard am 04.04.2024, 08:26

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

UnleashThebeast

Rogaahl

Smut

UnleashThebeast

Jedimaster

InfiX

othan

davebastard

Smut

hynk

Smut

uebi

HaBa

uebi

davebastard