Für Confluence-Admins könnte es ein arbeitsreicher Tag werden: Hipchat-Nutzer sollen ihre Passwörter zurücksetzen und die Wiki-Software des Unternehmens braucht ein Update. Ansonsten können Angreifer alle Seiten des Wikis ohne Autorisierung einsehen.
Angebliche von Amazon versendete Mails sind derzeit häufig im E-Mail-Postfach zu finden. Nach gefälschten Umsatzsteuerrechnungen gibt es neuerdings eine Phishing-Kampagne, die Nutzer ausgerechnet unter Verweis auf die EU-Datenschutzverordnung zur Preisgabe persönlicher Daten bringen will.
Eine Spionagesoftware für Android, die den Aufenthaltsort der Nutzer an Angreifer melden kann, blieb über Jahre unentdeckt. Die App brauchte seit 2014 nicht einmal ein Update, um der Erkennung zu entgehen.
Wie entscheidet ein Computer? Die Verbraucherzentralen fordern eine unabhängige Instanz, die Algorithmen überprüft, die Entscheidungen für einen Nutzer treffen, etwa bei der Stellenauswahl.
Das Archiv des Internets will der Robots.txt-Datei einer Webseite künftig keine Bedeutung mehr beimessen. Der Schritt sei notwendig, weil die Datei einer echten Archivierung des Internets aus Nutzersicht entgegenstehe, schreiben die Macher.
Risiken durch Injections, Fehler beim Session Management und XSS bleiben weiterhin hoch. Im vorliegenden Entwurf finden sich neben bekannten Sicherheitslücken jedoch auch zwei neue Top-10-Kandidaten. Wir stellen die wichtigsten Änderungen und deren mögliche Folgen vor.
/7Kommentare/Eine Analyse von Tim Philipp Schäfers
Computer in der Schule können den Schülern beim Lernen helfen. Sie spionieren die Schüler aber auch aus, wie die US-Bürgerrechtsorganisation EFF herausgefunden hat.
Microsoft hat Updates für Kaby-Lake- und Ryzen-CPUs für ältere Windows-Versionen gesperrt. Doch es gibt einen Workaround, den ein Github-Mitglied detailliert beschreibt. Dazu muss eine Dll-Datei verändert werden.
Der Nvidia-Grafiktreiber für Windows enthält offenbar einen Node.js-Server. Das ermöglicht es, Whitelisting oder Signatur-Methoden ziemlich trivial zu umgehen, um beliebigen Code auf einem Rechner auszuführen.
Bei der Umsetzung der EU-Datenschutzverordnung will die große Koalition möglichst viele Öffnungsklauseln ausnutzen. Das gefällt Brüssel erwartungsgemäß gar nicht.
Der mutmaßliche BVB-Attentäter soll vor dem Anschlag 15.000 Optionsscheine auf die BVB-Aktie gekauft haben - über das WLAN in seinem Hotelzimmer. Die IP-Adresse und andere Hinweise führten die Polizei auf die Spur des Mannes.
Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.
Um Botnetze besser bekämpfen zu können, dürfen Provider künftig auch Steuer- und Protokolldaten analysieren und speichern. Inhaltsdaten seien aber nicht betroffen, versichert die große Koalition.
Wer ein NAS von Qnap administriert, sollte schnell die neueste Softwareversion einspielen - denn die Geräte sind für Angriffe aus der Ferne verwundbar. Über einen manipulierten Reboot-Befehl kann beliebiger Code ausgeführt werden.
Was andere Staaten angeblich können, soll auch für Deutschland möglich werden. Sicherheitsbehörden sollen Angriffe auf IT-Systeme aktiv abwehren und Server im Ausland "zerstören" dürfen.
Der Kreditkartenanbieter Mastercard will Transaktionen in Zukunft offenbar nicht mehr nur per PIN absichern, sondern alternativ die Authentifizierung per Fingerabdruck anbieten. Das Problem: Ein Fingerabdruck lässt sich nach Manipulationen nur schwer austauschen.
Google will angeblich seinen Chrome-Browser mit einem Adblocker ausstatten. Damit sollen die Standards einer Allianz für bessere Werbung durchgesetzt werden.
Wer im vergangenen Jahr auf Geschäftsreise oder im Urlaub in den USA gewesen ist, sollte seine Kreditkartenabrechnungen prüfen: Zahlungsterminals zahlreicher Hotels von Crown Plaza und Holiday Inn waren mit Malware infiziert.
Update Kabellose Kopfhörer sind praktisch, im Falle von Bose aber ein Risiko für die Privatsphäre der Nutzer. Der Kopfhörerhersteller würde Informationen über übertragene Songs illegal speichern - so argumentieren jedenfalls mehrere Kläger in den USA. Bose widerspricht.
Nach der Softwareaktualisierung ist das Betriebssystem an einigen Stellen auf einmal auf Englisch: Sony ist bei der Implementierung von Sicherheitspatches offenbar ein Fehler unterlaufen. Das Update soll bald ein Update erhalten.
Per PIN oder Fingerabdruck statt Passwort: Microsofts Authenticator-App soll jetzt die Anmeldung per Smartphone ermöglichen. Das soll Sicherheit und Einfachheit bei der Anmeldung erhöhen.
Wer bei Owncloud oder Nextcloud einen Bugreport melden möchte, wird nach dem Inhalt seiner Konfigurationsdatei gefragt. Einige Nutzer kamen dem nach - und gaben damit ihre Passwörter öffentlich preis.
Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.
Wer Quellcode für Malware offenlegt, erweist der Gesellschaft meist keinen großen Dienst. Im vergangenen Dezember veröffentlichter Code wird jetzt für einen Bankentrojaner genutzt, der im Play Store verbreitet wird.
Die deutschen Datenschützer haben große Bedenken gegen einen flächendeckenden Einsatz von Gesichtserkennungssoftware in Bahnhöfen. Tests zu deren Vorbereitung findet die Bundesdatenschutzbeauftragte Andrea Voßhoff hingegen akzeptabel.
Die Gruppe Shadowbrokers veröffentlicht zahlreiche NSA-Exploits und Informationen über einen Hack des Swift-Banksystems Eastnets durch den US-Geheimdienst. Anders als beim letzten Mal sind viele der Exploits recht aktuell und können Windows-Systeme angreifen.
Update Wer eine Magento-basierte Onlineshop-Lösung verwendet, sollte dringend seine Einstellungen überprüfen. Eine Sicherheitslücke erlaubt die Kompromittierung des Angebots. Es betrifft aber nicht alle Installationen und der Hersteller arbeitet an einem Patch, kommuniziert dies jedoch nicht vernünftig.
0-Days werden deutlich seltener für gezielte Angriffe eingesetzt, als oft gedacht. In einem aktuellen Fall ist aber genau dies geschehen: Staatliche Hacker und Kriminelle nutzten eine Sicherheitslücke in Word aus, um den Finfisher-Trojaner zu installieren.
In Karlsruhe sind zum wiederholten Male Eilanträge gegen die Vorratsdatenspeicherung gescheitert. Nun müssen die Provider die Technik installieren, obwohl das Gesetz wenig später im Hauptverfahren einkassiert werden könnte.
Äußerungen von Politikern zur Verschlüsselung von Whatsapp lösen immer wieder Kopfschütteln aus. Dieses Mal will die Berliner Datenschutzbeauftragte den Einsatz von Whatsapp an Schulen untersagen - und spricht ohne Quelle von Lücken in der Verschlüsselung.
Vor kurzem zeigten Google-Sicherheitsexperten, wie man die Firmware eines Broadcom-WLAN-Chips angreifen kann. Damit lässt sich auch das komplette Smartphone übernehmen - dank weiterer Bugs und weil die Hardware nicht hinreichend isoliert wurde.
Update Die Werbung in den Warteschlangen von Postfilialen soll personalisierter werden. Die verwendete Gesichtserkennungssoftware ist umstritten, auch wenn sie Menschen nicht identifiziert.
Auch die zweite Version der Trutzbox überzeugt im Test - selbst wenn wir Kleinigkeiten bei der Einrichtung zu bemängeln haben. Letztlich ist das Gerät ein umfassender Heimserver mit einfacher Konfiguration. Für das WLAN müssen die Nutzer Hand anlegen.
Update Noch immer verhandeln die EU und Whatsapp über die Weitergabe von Nutzerdaten an den Mutterkonzern Facebook. Hamburgs Datenschützer Caspar widerspricht seiner irischen Kollegin energisch.
Ein Angriff auf Microsofts Office-Suite setzt nicht auf vom Nutzer auszuführende Makros, sondern nutzt eine Sicherheitslücke in der Funktion Windows Object Linking and Embedding. Microsoft hat das entsprechende Update am Patch Tuesday freigegeben.
Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.
Rund 8,6 Millionen US-Dollar muss das deutsche Unternehmen Bossland laut einer Gerichtsentscheidung an Blizzard zahlen. Das wird nicht passieren, so der Chef von Bossland - der gleichzeitig die Geschäftsmethoden von Blizzard etwa in World of Warcraft angreift.
Mehr Einnahmen, weniger Kosten - so soll Protonet gerettet werden. Dafür muss die überwiegende Anzahl der Mitarbeiter gehen, bestehende Kunden sollen kostenpflichtige Supportverträge abschließen.
Auf einmal wurde es laut: In der Nacht zum Samstag fingen über 100 Sirenen in Dallas zu heulen an. Erst sprachen die Behörden von einer "Fehlfunktion", jetzt soll ein Hacker schuld sein.
The Shadow Brokers haben keine Lust mehr - oder sind von Donald Trump wirklich enttäuscht: Das Passwort zum verschlüsselten Archiv jedenfalls ist jetzt im Netz. Die Gruppe hatte Exploits "besser als Stuxnet" angekündigt und damit wohl etwas übertrieben.
Unbekannte versuchen zurzeit, sich in ungesicherte IoT-Geräte zu hacken und diese aktiv zu zerstören. Offenbar ein Versuch, die Geräte unschädlich zu machen, bevor sie Teil von Botnetzen wie Mirai werden.
Update Der Suchmaschinenbetreiber Ask.com gibt mehr Informationen preis, als er eigentlich sollte: Auf einer Apache-Statusseite lassen sich zahlreiche Suchanfragen von Nutzern verfolgen. Seit einem Monat hat das Unternehmen nicht auf die Fehlermeldung reagiert.
Der Zukauf soll mehr Sicherheit für Apple-Rechner bieten: F-Secure hat Little Flocker übernommen. Die Software soll in die eigene Xfence-Suite integriert werden und vor Viren und Ransomware schützen.
Derzeit nervt eine Spam-Welle die Millionen Nutzer von T-Online-Mail-Adressen. Die Filtersoftware der Telekom kann die neue Müllwelle derzeit nicht erkennen und muss noch mal in die Lernphase.
Flash-Speicher für die Hosentasche: Western Digital bringt seine erste externe SSD, die über USB-C verbunden wird. Sie soll nicht nur sehr schnell, sondern auch besonders sicher und stabil sein.
Microsoft hat erstmals sehr detailliert darüber Auskunft gegeben, welche Nutzerdaten Windows 10 sammelt. Mit dem aktuellen Creators Update erhalten Anwender mehr Einstellungsoptionen, um das zu verringern.
Die von US-Präsident Donald Trump versprochenen "extremen Einreisekontrollen" könnten für Besucher der USA sehr unangenehm werden. Ob sie auch für deutsche Staatsbürger gelten, ist noch unklar.
Das im vergangenen Jahr groß angekündigte neue Flattr-Plugin ist immer noch nicht fertig. Der schwächelnde Mikrobezahldienst hat nun seine Eigenständigkeit an Eyeo verloren.
