"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 53094 157
Posts

Dreamforcer

New world Order
Avatar
Registered: Nov 2002
Location: Tirol
Posts: 7427
hat jemand grad ne beta rennen vom 10.13.2 ? ich hab irgendwie die vermutung dass das bei den dev versionen aktiv ist und bei der final einfach ein flag nicht entfernt wurde als die die kompilierten

Hubman

Seine Dudeheit
Registered: May 2000
Location: Nürnberg vs. Vl..
Posts: 5700
Zitat aus einem Post von Smut
Immerhin. Schnelles Update.

für diesen patch haben jetzt auch gleich wieder einen patch rausgebracht....
oder man lösts im terminal https://support.apple.com/en-us/HT208317

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
root_password_227360.jpg
scnr

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
Der Thread. Also ich würde mich als Kunde bei T-Mobile entweder abmelden, oder schnell mein Passwort ändern.


¯\_(ツ)_/¯
Bearbeitet von Hansmaulwurf am 06.04.2018, 22:07

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: sbg
Posts: 24478
Breach in 3 .. 2 .. 1 .. :D

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: Graz
Posts: 3048
:eek: :rolleyes:
"We store the whole password, because you need it for the login..." ?
wtf? das liest sich so, als müssten sie es plaintext speichern, weil's sie's ja sonst nicht validieren können :bash:

das muss sarkastisch gemeint sein, oder virales marketing? not sure.
vorallem dann die ansage: "because our security is amazingly good?"

möglicherweise wurde der twitter account bereits gehacked, oder der mitarbeiter ist stoned? :D

ich lese im darkweb schon den satz: challenge accepted ;)

UnleashThebeast

Kabelbinder = Todesstrafe
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 2057
Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...

Hansmaulwurf

u wot m8?
Avatar
Registered: Apr 2005
Location: Wien
Posts: 5307
Zitat aus einem Post von Bogus
ich lese im darkweb schon den satz: challenge accepted
Dafür brauchts kein Darkweb, weil die Security-Forscher da auch so relativ offen sind, aber ja, international hieß es schon challenge accepted :D

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
Zitat aus einem Post von UnleashThebeast
Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...
Die Passwörter selbst sind idr. In solchen Systemen nicht im plaintext gespeichert. Sondern verschlüsselt mit protokolliertem Zugriff. Helpdesk darf 4 stellen sehen, gewisses Personal kann jedoch alle einsehen, das Problem besteht bei Verschlüsselung einfach.

Hier kommen zwei Phänomene zusammen: gängige Praxis bei Helpdesks zur Useridentifierzirung und Social Media.

Finde diese Variante zur User-Authentifizierung via Helpdesk veraltet, ist aber nicht nur bei t-Mobile so, T-Mobile fasst es jetzt halt aus.
Kann mich erinnern, dass ich auch beim MS Helpdesk mal eine ähnliche Situation hatte.

~PI-IOENIX~

Pappenschlosser
Avatar
Registered: Nov 2002
Location: mühl4tl / graz
Posts: 4538
Wie kommt der österreichische Bundestrojaner aus Handy ?

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: Graz
Posts: 3048
wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.

semteX

salty as fck
Avatar
Registered: Oct 2002
Location: lnz
Posts: 12991
das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 14739
Zitat aus einem Post von semteX
das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.
Genau.
Bei T-Mobile eben nicht.
Gut gemeint aber halt problematisch da die Leute oft ein Shared Passwort verwenden, etwas anderes kannst halt auch nur schlecht z.b. Telefonisch durchgeben.
Zitat aus einem Post von Bogus
wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.
Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: Graz
Posts: 3048
Zitat aus einem Post von Smut
Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.
+1

aber speziell in hinblick auf die DSGV stellen wir das entsprechend um. technisch ist es ja relativ wenig aufwand.
der support wird sich damit aber sicher noch ärgern.....

@semteX: aber auch das kundenkenntwort sollte encrypted in der DB stehen.
bringt ja auch ein sicherheitsrisiko mit sich, wenn sich der kunde telefonisch damit authorisiert.
Bearbeitet von Bogus am 07.04.2018, 17:55

Rektal

OC Addicted
Registered: Dec 2002
Location: Inside
Posts: 4178
Wenn die DSGV anrollt, koennen wirs verifizieren: einfach alle Daten anfordern und schauen welche "spalten" komen :p
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz